Первые жертвы критических уязвимостей Rails: RubyGems.org подвергся хакерской атаке

    Не успело Rails сообщество оправиться от последних критических уязвимостей с YAML парсингом, как злоумышленники нанесли удар по святому — RubyGems.org(wiki) подвергся хакерской атаке, через выше описанные уязвимости. Как минимум один зловредный гем был залит на RubyGems, который потенциально имел доступ к чувствительной информации, включая права на манипулирование гемами.

    В настоящий момент команда RubyGems проверяет все гемы, так как не знает какие из них были подделаны. С помощью зеркала двухмесячной давности было установлено, что в 84% гемов не вносились какие либо изменения. Остальные 16% проверяются вторым зеркалом.

    Источники:
    www.ehackingnews.com/2013/01/rubygemsorg-hacked-via-yaml-parsing.html
    status.heroku.com/incidents/489
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 24
    • +33
      решето (с)
      • +1
        Назовём это естественным отбором проектов разработчики которых держат руку на пульсе.
        • +15
          «Ехал в метро, парень на телефоне прямо при мне три уязвимости в рельсах нашёл. Потом ещё девушка на эскалаторе одну, прямо с айпада» (с) @scammer
        • 0
          Честно говоря, написав данные коммент про решето я думал сколько минусов наберет комментарий, но вышеуказанные плюсы, вводят меня в режим легкого не понимания.
          • 0
            RCEails ©
          • 0
            А мы заupdateлись в день выходов патчей :), но конечно не факт, что где-то еще нет дыры. Как говориться «вода дырочку найдет» :)
            П.с. попытки заYAMLить были кстати :)
            • 0
              Как вы отследили попытки?
              • 0
                Так ведь в логах фронтенда (nginx, или что у вас там) все легко отслеживается.
            • +38
              Встречаешься ты с барышней, в кафе допустим. Случайно какая-то
              милая нелепость заставляет вас заговорить друг с другом — ну там я
              не знаю, она уронила платок или ты попросил у нее телефон
              позвонить. И вдруг глянулись вы друг другу.
              Потом — вечер, лето, даже весна, теплынь, душит черемуха и сатанеют
              соловьи. Смех, легкое опьянение, вы стоите на балконе у нее дома,
              потом заходите в комнату… Тут клавиатура бессильна. Она богиня, и
              даже шестой оргазм не может вас разлучить. Ты засыпаешь, и во сне
              формулируешь предложение руки и сердца. УТро. Солнце лупит прямо
              в глаза.
              Приходится просыпаться. На столе лежит записка.
              «Радость моя, солнце мое, свет моей жизни… Я ушла на работу. Это
              такая мука — разлучится с то...» СТОП. Что это?!.. Еще раз! «мука — разлучится с тобой!»… о НЕТ! НЕТ! Только не это!
              В полседьмого раздается бряканье ключей. Ты видишь мелком из-за
              створки двери этот бесконечно милый профиль… Прощай!
              Топор в неумелых руках не перерубает шею даже с третьего удара. Ты
              стоишь в луже крови над издыхающей богиней и шепчешь
              «ться! что сделать! ться!»…
              • 0
                Спасибо, исправил.
                • 0
                  я уже не Хабр, я grammarNazi на /dev/null
                  • 0
                    «душит черемуха и сатанеют соловьи»
                    Сразу подумал об этом
                    image
                    • 0
                      Видишь мелком? Научите?
                      • 0
                        такая мука — разлучится с то...

                        1) разлучАться — если она не ушла навсегда
                        2) разлучИться — если она ушла навсегда

                        Какой вариант подразумевался?
                      • +1
                        За ситуацией можно следить вот здесь
                        • 0
                          status.rubygems.org/ или тут. Сейчас новые версии гемов нельзя выложить, выключили push api :(
                        • +2
                          Уязвимость в psych, парсере YAML, а не в рельсах.
                          • 0
                            Не совсем так. Как минимум одна из уязвимостей была в ActiveDispatch, который является компонентом RubyOnRails.
                            • 0
                              в ямле. просто AD его использовал (зря)
                          • +2
                            Странно что они не хранили хешь gem'a.
                            • 0
                              добавлю — разработичики рубеджемс были уведомлены за неделю. только сейчас они такие «О_о а чо вы нас сломали ну я так не играааю»
                              • 0
                                Классическое nobody cares. И печально, что такое у ребят из rubygems.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.