Я использую драгоценный камень omniauth
, и когда я отправляю свой код на Github, он показывает мне предупреждение системы безопасности из-за драгоценного камня.
CVE-2015-9284
high severity
Vulnerable versions: <= 1.9.0
Patched version: No fix
The request phase of the OmniAuth Ruby gem is vulnerable to Cross-Site Request Forgery when used as part of the Ruby on Rails framework, allowing accounts to be connected without user intent, user interaction, or feedback to the user. This permits a secondary account to be able to sign into the web application as the primary account.
Однако кажется, что я использую Последняя версия
Есть ли какое-то возможное решение, или я должен пропустить это сейчас?
Об этом сообщалось в omniauth/omniauth выпуск 960 и обсуждалось в PR 809 «Защитить фазу запроса от CSRF при использовании Rails»..
So we have implemented the
omniauth-rails_csrf_protection
solution, but previously we had our 3rd party OAuth provider log people in after they had verified the registration and redirect them to our/auth/provider
endpoint.
This would now require them POSTing to the endpoint with a CSRF token, which is not possible as they are on a separate platform/system.Should the omniauth readme be updated to mention that anyone using omniauth with rails should also use
omniauth-rails_csrf_protection
?
См. зафиксировать 0264706 в качестве примера использования этого параметра.
gem "omniauth-rails_csrf_protection"
Или... coreinfrastructure/best-practices-badge PR 1298
I hate to bring in a third-party shim to fix a security issue, but upstream omniauth has still not fixed its vulnerability, and it's a CVE report from 4 years ago (2015).
The omniauth folks are still discussing how to fix it, and my patience has been exhausted.
I reviewed the shim code, and I don't see any issues. This is a vulnerability that allows account takeover, so I think ignoring it is extremely unwise. It's not trivial to exploit, but it's real.
Я устанавливаю драгоценный камень «omniauth-rails_csrf_protection» и помещаю код в репозиторий, но проблема все еще существует. Мой репозиторий: github.com/mhamzajutt96/sportscenter/network/alerts
@MuhammadHamza Странно. Может быть, вы можете сообщить об этом в одном из вопросов, которые я упоминаю в начале своего ответа.
Но вопрос уже открыт, какая разница, если я открою его снова
@MuhammadHamza Не для того, чтобы открыть его снова, а для Добавить в качестве комментария, свидетельства вашей проблемы (с подробностями, версией, ОС, ...), чтобы сигнализировать о том, что проблема еще не решена.
Пожалуйста, не включайте скриншоты открытого текста. Скопируйте и вставьте текст в свое сообщение, чтобы сделать ваше сообщение доступным для поиска и видимым для пользователей, которые могут не иметь возможности загружать изображения.