Привет, Хабр!
Обращаем ваше внимание, что мы только что выпустили обновление всех наших IDE на базе платформы IntelliJ (как недавно выпущенной 2016.1 версии, так и старых). Причина — найденная уязвимость в самой платформе. Обновления и патчи уже доступны.
Нам неизвестно ни одного случая использования найденных проблем, но мы настоятельно рекомендуем всем нашим пользователям обновить затронутые IDE как можно скорее.
Ниже читайте описание проблемы и короткую инструкцию, что делать дальше.
Встроенный в IDE веб-сервер мог быть атакован с помощью межсайтовой подделки запроса (cross-site request forgery flaw). В результате злоумышленники могли получить доступ к локальной файловой системе пользователя без его ведома с помощью сайта, созданного злоумышленником.
Недостаточно ограниченная политика CORS (Cross-origin resource sharing) давала злоумышленнику возможность получить доступ к вызовам внутренного API, данным, которые хранит IDE, а также к различной информации о самой IDE (как то ее версия), помимо этого появлялась возможность открывать проекты.
Чтобы установить обновление, запустите 'Check for Updates' или скачайте актуальную версию нужного вам продукта с сайта www.jetbrains.com.
Если вы используете одну из старых версий, перейдите на одну из страниц со старыми версиями из списка ниже:
Обращаем ваше внимание, что проблема не затронула другие наши продукты, которые не основаны на платформе IntelliJ, а именно: ReSharper, ReSharper C++, dotCover, dotMemory, dotTrace, dotPeek, TeamCity, YouTrack, Upsource и Hub.
Чуть больше деталей можно найти в посте в нашем англоязычном блоге. И, конечно, мы рады ответить на любые ваши вопросы в комментариях.
Спасибо за понимание!
Ваша Команда JetBrains
Обращаем ваше внимание, что мы только что выпустили обновление всех наших IDE на базе платформы IntelliJ (как недавно выпущенной 2016.1 версии, так и старых). Причина — найденная уязвимость в самой платформе. Обновления и патчи уже доступны.
Нам неизвестно ни одного случая использования найденных проблем, но мы настоятельно рекомендуем всем нашим пользователям обновить затронутые IDE как можно скорее.
Ниже читайте описание проблемы и короткую инструкцию, что делать дальше.
Уязвимость, связанная со встроенным веб-сервером
Встроенный в IDE веб-сервер мог быть атакован с помощью межсайтовой подделки запроса (cross-site request forgery flaw). В результате злоумышленники могли получить доступ к локальной файловой системе пользователя без его ведома с помощью сайта, созданного злоумышленником.
Уязвимость, связанная со внутренними вызовами RPC
Недостаточно ограниченная политика CORS (Cross-origin resource sharing) давала злоумышленнику возможность получить доступ к вызовам внутренного API, данным, которые хранит IDE, а также к различной информации о самой IDE (как то ее версия), помимо этого появлялась возможность открывать проекты.
Что делать?
Чтобы установить обновление, запустите 'Check for Updates' или скачайте актуальную версию нужного вам продукта с сайта www.jetbrains.com.
Если вы используете одну из старых версий, перейдите на одну из страниц со старыми версиями из списка ниже:
- AppCode
- CLion
- DataGrip — пожалуйста, скачивайте последнюю версию с сайта продукта
- IntelliJ IDEA
- MPS
- PhpStorm
- PyCharm
- PyCharm Edu — пожалуйста, скачивайте последнюю версию с сайта продукта
- Rider — несколько дней назад вы должны были получить электронное письмо со ссылкой на скачивание обновления
- RubyMine
- WebStorm
Обращаем ваше внимание, что проблема не затронула другие наши продукты, которые не основаны на платформе IntelliJ, а именно: ReSharper, ReSharper C++, dotCover, dotMemory, dotTrace, dotPeek, TeamCity, YouTrack, Upsource и Hub.
Чуть больше деталей можно найти в посте в нашем англоязычном блоге. И, конечно, мы рады ответить на любые ваши вопросы в комментариях.
Спасибо за понимание!
Ваша Команда JetBrains
