本当は怖い家庭の Rubygems - ヽ( ・∀・)ノくまくまー(2009-06-04)● [Ruby] 本当は怖い家庭の Rubygems /usr/bin/* を勝手に荒らされるという話。今気付いただけので、ガイシュツなら無視してOK。 詳細 パッケージのディレクトリに、 とか書いておけば、その gem ファイルをインスコしちゃうと、無条件、無確認で /usr/bin/ls を上書きするのね。 gem のインスコなんてフツー root でやるし ギッハブにあるよく知らない野良 gem でも躊躇せずインスコしてるし Rubygems のセンスのなさは世界が認めるところだけど、このセキュリティ感覚は異常じゃね?俺が知る限り、これは世界一楽なバックドア仕込みフレームワーク。 使い方間違い? いやいや。もしかしたら、作者に言わせれば、 それはお前の使い方間違いだよ bin/* をチェックしてからインスコしろよ あと、野良とか入れんなよ てことなのかもしれないが、bin/* のチェ
