{"id":137258,"date":"2022-05-10T03:55:11","date_gmt":"2022-05-10T05:55:11","guid":{"rendered":"https:\/\/teknomers.com\/fr\/bug-critique-de-prise-de-controle-de-gems-signale-dans-le-gestionnaire-de-packages-rubygems\/"},"modified":"2022-05-10T03:55:17","modified_gmt":"2022-05-10T05:55:17","slug":"bug-critique-de-prise-de-controle-de-gems-signale-dans-le-gestionnaire-de-packages-rubygems","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/bug-critique-de-prise-de-controle-de-gems-signale-dans-le-gestionnaire-de-packages-rubygems\/","title":{"rendered":"Bug critique de prise de contr\u00f4le de Gems signal\u00e9 dans le gestionnaire de packages RubyGems"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les responsables du gestionnaire de packages RubyGems ont corrig\u00e9 une faille de s\u00e9curit\u00e9 critique qui aurait pu \u00eatre utilis\u00e9e de mani\u00e8re abusive pour supprimer des gemmes et les remplacer par des versions malveillantes dans des circonstances sp\u00e9cifiques.<\/p>\n<p>&#8220;En raison d&#8217;un bogue dans l&#8217;action Yank, il \u00e9tait possible pour tout utilisateur de RubyGems.org de supprimer et de remplacer certaines gemmes m\u00eame si cet utilisateur n&#8217;\u00e9tait pas autoris\u00e9 \u00e0 le faire&#8221;, RubyGems <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/rubygems\/rubygems.org\/security\/advisories\/GHSA-hccv-rwq6-vh79\" target=\"_blank\">mentionn\u00e9<\/a> dans un avis de s\u00e9curit\u00e9 publi\u00e9 le 6 mai 2022.<\/p>\n<p>RubyGems, comme npm pour JavaScript et pip pour Python, est un <a rel=\"nofollow noopener\" href=\"https:\/\/rubygems.org\/stats\" target=\"_blank\">directeur charg\u00e9 d&#8217;emballage<\/a> et un service d&#8217;h\u00e9bergement de gemmes pour le langage de programmation Ruby, offrant un r\u00e9f\u00e9rentiel de plus de 171 500 biblioth\u00e8ques.<\/p>\n<p>En un mot, la faille en question, identifi\u00e9e comme CVE-2022-29176, permettait \u00e0 quiconque d&#8217;extraire certaines gemmes et de t\u00e9l\u00e9charger diff\u00e9rents fichiers avec le m\u00eame nom, le m\u00eame num\u00e9ro de version et diff\u00e9rentes plates-formes.<\/p>\n<p>Pour que cela se produise, cependant, une gemme devait avoir un ou plusieurs tirets dans son nom, o\u00f9 le mot avant le tiret \u00e9tait le nom d&#8217;une gemme contr\u00f4l\u00e9e par l&#8217;attaquant, et qui a \u00e9t\u00e9 cr\u00e9\u00e9e dans les 30 jours ou n&#8217;a pas eu de mises \u00e0 jour depuis plus de 100 jours. jours.<\/p>\n<p>&#8220;Par exemple, la gemme &#8216;fournisseur de quelque chose&#8217; aurait pu \u00eatre reprise par le propri\u00e9taire de la gemme &#8216;quelque chose'&#8221;, ont expliqu\u00e9 les propri\u00e9taires du projet.<\/p>\n<p>Les responsables du projet ont d\u00e9clar\u00e9 qu&#8217;il n&#8217;y avait aucune preuve que la vuln\u00e9rabilit\u00e9 ait \u00e9t\u00e9 exploit\u00e9e dans la nature, ajoutant qu&#8217;ils n&#8217;avaient re\u00e7u aucun e-mail d&#8217;assistance des propri\u00e9taires de gemmes les alertant de la suppression des biblioth\u00e8ques sans autorisation.<\/p>\n<p>&#8220;Un audit des modifications apport\u00e9es aux gemmes au cours des 18 derniers mois n&#8217;a trouv\u00e9 aucun exemple d&#8217;utilisation malveillante de cette vuln\u00e9rabilit\u00e9&#8221;, ont d\u00e9clar\u00e9 les responsables.  &#8220;Un audit plus approfondi pour toute utilisation possible de cet exploit est en cours.&#8221;<\/p>\n<p>La divulgation intervient alors que NPM a corrig\u00e9 plusieurs failles de sa plate-forme qui auraient pu \u00eatre militaris\u00e9es pour faciliter les attaques de prise de contr\u00f4le de compte et publier des packages malveillants.<\/p>\n<p>Le principal d&#8217;entre eux est une menace de la cha\u00eene d&#8217;approvisionnement appel\u00e9e plantation de paquets qui permet aux acteurs malveillants de faire passer les biblioth\u00e8ques escrocs pour l\u00e9gitimes simplement en les attribuant \u00e0 des mainteneurs de confiance et populaires \u00e0 leur insu.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/05\/critical-gems-takeover-bug-reported-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les responsables du gestionnaire de packages RubyGems ont corrig\u00e9 une faille de s\u00e9curit\u00e9 critique qui aurait pu \u00eatre utilis\u00e9e de mani\u00e8re abusive pour supprimer des gemmes et les remplacer par des versions malveillantes dans des circonstances sp\u00e9cifiques. &#8220;En raison d&#8217;un bogue dans l&#8217;action Yank, il \u00e9tait possible pour tout utilisateur de RubyGems.org de supprimer et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":137259,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[29066,4168,3976,22,4158,4165,4161,429,31057,21832,4157,4159,4171,4170,4167,4160,4163,4162,7309,1566,62786,4172,4169,5520,4166,4164],"class_list":["post-137258","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bug","tag-comment-pirater","tag-controle","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-gems","tag-gestionnaire","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-packages","tag-prise","tag-rubygems","tag-securite-informatique","tag-securite-internet","tag-signale","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/137258","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=137258"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/137258\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/137259"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=137258"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=137258"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=137258"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}