Пользователь
0,0
рейтинг
31 января 2013 в 08:21

Разработка → Первые жертвы критических уязвимостей Rails: RubyGems.org подвергся хакерской атаке

Не успело Rails сообщество оправиться от последних критических уязвимостей с YAML парсингом, как злоумышленники нанесли удар по святому — RubyGems.org(wiki) подвергся хакерской атаке, через выше описанные уязвимости. Как минимум один зловредный гем был залит на RubyGems, который потенциально имел доступ к чувствительной информации, включая права на манипулирование гемами.

В настоящий момент команда RubyGems проверяет все гемы, так как не знает какие из них были подделаны. С помощью зеркала двухмесячной давности было установлено, что в 84% гемов не вносились какие либо изменения. Остальные 16% проверяются вторым зеркалом.

Источники:
www.ehackingnews.com/2013/01/rubygemsorg-hacked-via-yaml-parsing.html
status.heroku.com/incidents/489
Тимур Козьменко @Timrael
карма
23,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (24)

  • +33
    решето (с)
    • +1
      Назовём это естественным отбором проектов разработчики которых держат руку на пульсе.
    • +15
      «Ехал в метро, парень на телефоне прямо при мне три уязвимости в рельсах нашёл. Потом ещё девушка на эскалаторе одну, прямо с айпада» (с) @scammer
      • +1
        @skammer :)
        • 0
          Сорри, затупил :)
    • 0
      Честно говоря, написав данные коммент про решето я думал сколько минусов наберет комментарий, но вышеуказанные плюсы, вводят меня в режим легкого не понимания.
    • 0
      RCEails ©
  • 0
    А мы заupdateлись в день выходов патчей :), но конечно не факт, что где-то еще нет дыры. Как говориться «вода дырочку найдет» :)
    П.с. попытки заYAMLить были кстати :)
    • 0
      Как вы отследили попытки?
      • 0
        Так ведь в логах фронтенда (nginx, или что у вас там) все легко отслеживается.
  • +38
    Встречаешься ты с барышней, в кафе допустим. Случайно какая-то
    милая нелепость заставляет вас заговорить друг с другом — ну там я
    не знаю, она уронила платок или ты попросил у нее телефон
    позвонить. И вдруг глянулись вы друг другу.
    Потом — вечер, лето, даже весна, теплынь, душит черемуха и сатанеют
    соловьи. Смех, легкое опьянение, вы стоите на балконе у нее дома,
    потом заходите в комнату… Тут клавиатура бессильна. Она богиня, и
    даже шестой оргазм не может вас разлучить. Ты засыпаешь, и во сне
    формулируешь предложение руки и сердца. УТро. Солнце лупит прямо
    в глаза.
    Приходится просыпаться. На столе лежит записка.
    «Радость моя, солнце мое, свет моей жизни… Я ушла на работу. Это
    такая мука — разлучится с то...» СТОП. Что это?!.. Еще раз! «мука — разлучится с тобой!»… о НЕТ! НЕТ! Только не это!
    В полседьмого раздается бряканье ключей. Ты видишь мелком из-за
    створки двери этот бесконечно милый профиль… Прощай!
    Топор в неумелых руках не перерубает шею даже с третьего удара. Ты
    стоишь в луже крови над издыхающей богиней и шепчешь
    «ться! что сделать! ться!»…
    • 0
      Спасибо, исправил.
    • 0
      я уже не Хабр, я grammarNazi на /dev/null
    • 0
      «душит черемуха и сатанеют соловьи»
      Сразу подумал об этом
      image
    • 0
      Видишь мелком? Научите?
    • 0
      такая мука — разлучится с то...

      1) разлучАться — если она не ушла навсегда
      2) разлучИться — если она ушла навсегда

      Какой вариант подразумевался?
  • +1
    За ситуацией можно следить вот здесь
    • 0
      status.rubygems.org/ или тут. Сейчас новые версии гемов нельзя выложить, выключили push api :(
  • +2
    Уязвимость в psych, парсере YAML, а не в рельсах.
    • 0
      Не совсем так. Как минимум одна из уязвимостей была в ActiveDispatch, который является компонентом RubyOnRails.
      • 0
        в ямле. просто AD его использовал (зря)
  • +2
    Странно что они не хранили хешь gem'a.
  • 0
    добавлю — разработичики рубеджемс были уведомлены за неделю. только сейчас они такие «О_о а чо вы нас сломали ну я так не играааю»
    • 0
      Классическое nobody cares. И печально, что такое у ребят из rubygems.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.