
«However, this method of securing gems is not widely used. It requires a number of manual steps on the part of the developer, and there is no well-established chain of trust for gem signing keys«.
Esta falta de comprobación tiene matricula: CVE-2015-3900 y ya ha sido corregida. Afecta a las versiones de RubyGems entre 2.0 y 2.4.6 (inclusive). Las versiones del lenguaje Ruby y librerías de la 1.9.0 a la 2.2.0 podrían contener una versión vulnerable de RubyGems.
Deja una respuesta