https://www.opennet.ru/openforum/vsluhforumID3/117037.html В популярной Ruby-библитеке bootstrap-sass (вариант Bootstrap 3 с поддержкой Sass), насчитывающей (https://rubygems.org/gems/bootstrap-sass) около 28 млн загрузок, выявлен (https://snyk.io/blog/malicious-remote-code-execution-backdoor-discovered-in-the-popular-bootstrap-sass-ruby-gem/) бэкдор (CVE-2019-10842 (https://security-tracker.debian.org/tracker/CVE-2019-10842)), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3 (https://rubygems.org/gems/bootstrap-sass/versions/3.2.0.3), опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4 (https://rubygems.org/gems/bootstrap-sass/versions/3.2.0.4), предложенном 3 апреля.<br><br><br>Бэкдор был скрыто добавлен в файл lib/active-controller/middleware.rb, в котором появился (https://github.com/twbs/bootstrap-sass/issues/1195) код для вызова eval со значением, передаваемым через Cookie "___cfduid=". Для атаки достаточно было отпра https://www.opennet.ru/openforum/vsluhforumID3/117037.html#38 Mon, 08 Apr 2019 07:34:05 GMT Или стихи Маяковского:<br>Били копыта,<br>Пели будто:<br>- Git.<br>Grub.<br>Cron.<br>Gimp.-<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#37 Sun, 07 Apr 2019 13:58:08 GMT Так все (PyPI, NPM) делают.<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#36 Sun, 07 Apr 2019 13:54:16 GMT ту же самую Bulma можно поставить, и сайт покрасивее будет, и лишнего JS не требует.<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#34 Fri, 05 Apr 2019 21:29:07 GMT Слова "git", "gimp", "cron", "grub" итд. тоже похожи на названия каких-то стремных малварей.<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#33 Fri, 05 Apr 2019 20:09:56 GMT Так в соседних новостях же...<br>https://www.opennet.ru/opennews/art.shtml?num=50466<br>https://www.opennet.ru/opennews/art.shtml?num=50463<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#32 Fri, 05 Apr 2019 18:40:19 GMT Хз где это так - также где и везде.<br><br>Вот к примеру koji ты берешь spec и патчи кладешь на githab потом команда koji собирай. Он стягивает спек и патчи с гита и потом сырцы по указанию со спека и собирает пакет и кладет его в bodhi для теста. (fedora сборка рпм)<br><br>Хз как в дебиане - но поди также.<br><br>Я вообще удивлен что у них туда гемы грузят отдельно от сырцов.<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#31 Fri, 05 Apr 2019 17:26:33 GMT Удивительно. Я уж думал тех, кто делает код ревью зависимостей, вообще не осталось.<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#30 Fri, 05 Apr 2019 17:24:28 GMT This bug bootstraps ass...<br> https://www.opennet.ru/openforum/vsluhforumID3/117037.html#29 Fri, 05 Apr 2019 16:37:11 GMT &gt; Информация о возможном бэкдоре была опубликована в системе отслеживания ошибок спустя несколько часов после размещения проблемного выпуска 3.2.0.3, после чего примерно через час мэйнтейнеры удалили проблемный выпуск из RubyGems и поменяли пароли для входа, но не учли, что удалённые версии ещё несколько дней могут оставаться доступными на зеркалах. 3 апреля был дополнительно сформирован выпуск 3.2.0.4, полностью аналогичный версии 3.2.0.2, который позволял избавиться от версии с бэкдором без перехода на новую ветку 3.4.<br><br>круты, всем хотя бы так оперативно действовать<br>