The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В Ruby-библитеке bootstrap-sass выявлен бэкдор"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от opennews (ok), 05-Апр-19, 10:27 
В популярной Ruby-библитеке bootstrap-sass (вариант   Bootstrap 3 с поддержкой Sass), насчитывающей (https://rubygems.org/gems/bootstrap-sass) около 28 млн загрузок, выявлен (https://snyk.io/blog/malicious-remote-code-execution-backdoo.../) бэкдор (CVE-2019-10842 (https://security-tracker.debian.org/tracker/CVE-2019-10842)), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3 (https://rubygems.org/gems/bootstrap-sass/versions/3.2.0.3), опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4 (https://rubygems.org/gems/bootstrap-sass/versions/3.2.0.4), предложенном 3 апреля.


Бэкдор был скрыто добавлен в файл lib/active-controller/middleware.rb, в котором появился (https://github.com/twbs/bootstrap-sass/issues/1195) код для вызова eval со значением, передаваемым через Cookie "___cfduid=". Для атаки достаточно было отправить запрос на сервер, выставив Cookie "___cfduid" и передав в качестве аргумента команды, закодированные в формате Base64. Имя Cookie  "___cfduid" было выбрано для камуфлирования под Cookie "__cfduid", выставляемый  CDN Cloudflare и отличающийся наличием двух символов подчёркивания вместо трёх.


Примечательно, что вредоносный код был опубликован только в финальном пакете, опубликованном в репозитории RubyGems, но не был внесён в исходные тексты в Git-репозитории.  Исходный код (https://github.com/twbs/bootstrap-sass/) библиотеки оставался корректным и не вызывал подозрения у разработчиков, что подчёркивает важность применения повторяемых сборок и внедрения процесса проверки соответствия публикуемых пакетов с эталонными исходными текстами.
Судя по всему, атака была проведена через захват параметров учётной записи к RubyGems у одного из двух мэйнтейнеров библиотеки (официально утечка учётных данных пока не подтверждена).

Атаковавшие  проявили осмотрительность и встроили бэкдор не в самую свежую ветку 3.4.x, последний выпуск которой насчитывает более 217 тысяч загрузок, а как  обновление для прошлой ветки 3.2.x, рассчитывая на то, что корректирующее обновление зависимости не вызовет подозрений. По приблизительной оценке  1670 репозиториев на GitHub используют bootstrap-sass в качестве зависимости  и связанные с этими репозиториями приложения потенциально могут быть скомпрометированы. Разработчикам рекомендуется проследить использование библиотеки bootstrap-sass среди косвенных зависимостей и проверить не было ли выполнено автоматическое обновление до версии с бэкдором.


Информация о возможном бэкдоре была опубликована (https://github.com/twbs/bootstrap-sass/issues/1195) в системе отслеживания ошибок спустя несколько часов после размещения проблемного выпуска 3.2.0.3, после чего примерно через час мэйнтейнеры удалили проблемный выпуск из RubyGems и поменяли пароли для входа, но не учли, что удалённые версии ещё несколько дней могут оставаться доступными на зеркалах. 3 апреля был дополнительно сформирован выпуск 3.2.0.4, полностью аналогичный версии 3.2.0.2, который позволял избавиться от версии с бэкдором без перехода на новую ветку 3.4.

URL: https://snyk.io/blog/malicious-remote-code-execution-backdoo.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50462

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +9 +/
Сообщение от n1rdeks (ok), 05-Апр-19, 10:27 
Ну вот опЯть
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +2 +/
Сообщение от borbacuca (ok), 05-Апр-19, 10:46 
нда небыло никогда....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +17 +/
Сообщение от Нанобот (ok), 05-Апр-19, 10:48 
если между публикацией протрояненого обновления и его удалением прошло всего 2-3 часа, то это очень даже хороший показыватель...а ведь могли бы заметить через 2-3 недели
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +2 +/
Сообщение от commiethebeastie (ok), 05-Апр-19, 16:11 
Ну это же не npm :D
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +3 +/
Сообщение от Аноним (4), 05-Апр-19, 10:58 
>Атаковавшие проявили осмотрительность и встроили бэкдор не в самую свежую ветку 3.4.x, последний выпуск которой насчитывает более 217 тысяч загрузок, а как обновление для прошлой ветки 3.2.x  

возможно дело не в осмотрительности, а в том что они хотели взломать какой-то конкретный проект, использующий эту версию

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –9 +/
Сообщение от Аноним (6), 05-Апр-19, 11:04 
Имя напоминает червя SASSer, я бы не стал такой либой пользоваться
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +1 +/
Сообщение от axredneck (?), 06-Апр-19, 00:29 
Слова "git", "gimp", "cron", "grub" итд. тоже похожи на названия каких-то стремных малварей.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

38. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от Владимирemail (??), 08-Апр-19, 10:34 
Или стихи Маяковского:
Били копыта,
Пели будто:
- Git.
Grub.
Cron.
Gimp.-
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

7. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от Аноним (7), 05-Апр-19, 11:09 
> Примечательно, что вредоносный код был опубликован только в финальном пакете, опубликованном в репозитории RubyGems, но не был внесён в исходные тексты в Git-репозитории.

Не понял ? Они что хотят что в RubyGems нет с гита заливается ?
Офигеть ... И как они тогда проверяют на соответсвие сорцам ссылку на которые они дают на своем сайте ?

Мда ....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –1 +/
Сообщение от GentooBoy (ok), 05-Апр-19, 11:17 
Точно также как и везде, с чего оно должно с гита заливаться? Нужно сформировать пакет потом залить в репу. Так у всех. Ну то есть вообще у всех.  Другое дело что ты можешь поставить  build server и делать это автоматически.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от хм (?), 05-Апр-19, 15:17 
Packagist например просто трекает git-репозиторий и версия пакета там - это тег или ветка в гите. Так что подобное там вроде невозможно.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –1 +/
Сообщение от anonymous (??), 05-Апр-19, 21:40 
Хз где это так - также где и везде.

Вот к примеру koji ты берешь spec и патчи кладешь на githab потом команда koji собирай. Он стягивает спек и патчи с гита и потом сырцы по указанию со спека и собирает пакет и кладет его в bodhi для теста. (fedora сборка рпм)

Хз как в дебиане - но поди также.

Я вообще удивлен что у них туда гемы грузят отдельно от сырцов.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

8. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +2 +/
Сообщение от Аноним (8), 05-Апр-19, 11:13 
Полон опасностей "программирую на css/sass/html/js/ts"-мирок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –2 +/
Сообщение от хотел спросить (?), 05-Апр-19, 12:47 
да везде хватает подводных камней
в системном программировании их даже больше
разница только в том что в "мирке" мало не веб-макак
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +2 +/
Сообщение от Аноним (24), 05-Апр-19, 17:55 
Расскажи нам.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

33. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от Аноним (33), 05-Апр-19, 23:09 
Так в соседних новостях же...
https://www.opennet.ru/opennews/art.shtml?num=50466
https://www.opennet.ru/opennews/art.shtml?num=50463
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

12. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –2 +/
Сообщение от Аноним (12), 05-Апр-19, 11:25 
А я всегда говорю, что бутстрап то ещё ненужно, и вот подтверждение!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от mishaor (ok), 07-Апр-19, 16:54 
ту же самую Bulma можно поставить, и сайт покрасивее будет, и лишнего JS не требует.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от Анонимс (?), 05-Апр-19, 11:50 
> пакет с бэкдором был загружен около 1500 раз

Ферма из 1500 узлов, интересно, это сколько же можно было намайнить битков и эфира?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от имя (?), 05-Апр-19, 12:44 
сейчас уже что-то другое майнят, биткоин вроде и вовсе не выгоден для майнинга, даже при "халявных" ресурсах
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от Марк Шаттлворт (?), 05-Апр-19, 19:06 
Нисколько
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –2 +/
Сообщение от Аноним (17), 05-Апр-19, 14:20 
Я читал комменты и думал это только возможно в npm, а вот оно как оказывается.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –2 +/
Сообщение от Попугай Кеша (?), 05-Апр-19, 17:09 
Тут модно хейтить npm
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от tsifra (?), 05-Апр-19, 18:09 
и php :)
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +2 +/
Сообщение от Марк Шаттлворт (?), 05-Апр-19, 19:08 
Если по комментам ориентироваться, то можно на другие сайты не ходить - тут есть эксперты во всем и всегда тебе помогут с тем где ты неправ
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –2 +/
Сообщение от Аноним (20), 05-Апр-19, 16:43 
bootstraps-ass

бггггггг

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от Аноним (22), 05-Апр-19, 17:14 
> Примечательно, что вредоносный код был опубликован только в финальном пакете, опубликованном в репозитории RubyGems, но не был внесён в исходные тексты в Git-репозитории.

Получается пакеты в репозитории RubyGems собираются не из репозиториев с исходным кодом, а загружаются уже собранные? Очень странное решение авторов RubyGems.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от mishaor (ok), 07-Апр-19, 16:58 
Так все (PyPI, NPM) делают.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  –4 +/
Сообщение от user90 (?), 05-Апр-19, 19:03 
Так руби-кодеры, они это ккк.. веб-макаки жи?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +1 +/
Сообщение от J.L. (?), 05-Апр-19, 19:37 
> Информация о возможном бэкдоре была опубликована в системе отслеживания ошибок спустя несколько часов после размещения проблемного выпуска 3.2.0.3, после чего примерно через час мэйнтейнеры удалили проблемный выпуск из RubyGems и поменяли пароли для входа, но не учли, что удалённые версии ещё несколько дней могут оставаться доступными на зеркалах. 3 апреля был дополнительно сформирован выпуск 3.2.0.4, полностью аналогичный версии 3.2.0.2, который позволял избавиться от версии с бэкдором без перехода на новую ветку 3.4.

круты, всем хотя бы так оперативно действовать

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"  +2 +/
Сообщение от Онаним (?), 05-Апр-19, 20:26 
Удивительно. Я уж думал тех, кто делает код ревью зависимостей, вообще не осталось.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "В Ruby-библиотеке bootstrap-sass выявлен бэкдор"  +/
Сообщение от Онаним (?), 05-Апр-19, 20:24 
This bug bootstraps ass...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Fornex
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру