Github предупреждает о проблеме безопасности с драгоценным камнем Omniauth

Question

Я использую драгоценный камень omniauth, и когда я отправляю свой код в Github, он показывает мне предупреждение о безопасности этого драгоценного камня.

CVE-2015-9284 
high severity
Vulnerable versions: <= 1.9.0
Patched version: No fix
The request phase of the OmniAuth Ruby gem is vulnerable to Cross-Site Request Forgery when used as part of the Ruby on Rails framework, allowing accounts to be connected without user intent, user interaction, or feedback to the user. This permits a secondary account to be able to sign into the web application as the primary account.

Однако, похоже, я использую последнюю версию

Есть ли какое-либо возможное исправление, или я должен пропустить это сейчас?

Answer 1

Об этом сообщалось в omniauth / omniauth выпуске 960 и обсуждалось в PR 809 "Защита фазы запроса от CSRF при использовании Rails."

Он включает :

Итак, мы внедрили решение omniauth-rails_csrf_protection , но ранее у нас был сторонний провайдер OAuth, который регистрировал людей послеони проверили регистрацию и перенаправили их на нашу /auth/provider конечную точку.
Теперь для этого потребуется POSTing к конечной точке с токеном CSRF , что невозможно, поскольку они находятся на отдельной платформе /system.

Следует ли обновить readm для omniauth, чтобы упомянуть, что любой, использующий omniauth с рельсами, должен также использовать omniauth-rails_csrf_protection?

См. commit 0264706 в качестве примераиспользования этого параметра.

gem "omniauth-rails_csrf_protection"

Или ... coreinfrastructure / best-Practices-badge PR 1298

Я не хочу приводить третье-партия shim, чтобы исправить проблему безопасности, но у восходящего omniauth есть стильЯ не исправил свою уязвимость, и это отчет CVE за 4 года назад (2015).

Люди Всевышнего все еще обсуждают, как это исправить, и мое терпение было исчерпано.

Я просмотрел код прокладки и не вижу никаких проблем.Это уязвимость, которая позволяет захватить учетную запись, поэтому я считаю, что игнорировать ее крайне неразумно.Это не тривиально, но это реально.