URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 117867
[ Назад ]
Исходное сообщение
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено opennews , 08-Июл-19 14:14
В опубликованном (https://rubygems.org/gems/strong_password/versions/0.0.7) 25 июня выпуске gem-пакета Strong_password 0.7 выявлено (https://withatwist.dev/strong-password-rubygem-hijacked.html) вредоносное изменение (CVE-2019-13354 (https://rubysec.com/advisories/strong_password-CVE-2019-13354)), загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а версии 0.6 - около 38 тысяч. Для вредоносной версии число загрузок указано 537, но не ясно насколько оно соответствует действительности с учётом того, что данный выпуск уже удалён с Ruby Gems.Библиотека Strong_password предоставляет средства для проверки надёжности пароля, задаваемого пользователем при регистрации.
Среди (https://rubygems.org/gems/strong_password/reverse_dependencies) использующих Strong_password пакетов think_feel_do_engine (65 тысяч загрузок), think_feel_do_dashboard (15 тысяч загрузок) и
superhosting (1.5 тыс). Отмечается, что вредоносное изменение было добавлено неизвестным, перехватившим у автора контроль за репозиторием.
Вредоносный код был добавлен только на RubyGems.org, Git-репозиторий (https://github.com/bdmac/strong_) проекта не пострадал. Проблема была выявлена после того, как один из разработчиков, использующий в своих проектах Strong_password, начал разбираться, почему в репозитории последнее изменение было добавлено более 6 месяцев назад, но на RubyGems появился новый релиз, опубликованный от лица нового мэйтенера, про которого никто до этого ничего не слышал.
Атакующий мог организовать выполнение произвольного кода на серверах, использующих проблемную версию Strong_password. В момент обнаружения проблемы с Pastebin загружался скрипт для организации запуска любого кода, переданного клиентом через Cookie "__id" и закодированного при помощи метода Base64. Вредоносный код также отправлял параметры хоста, на который установлен вредоносный вариант Strong_password, на подконтрольный злоумышленнику сервер.
URL: https://news.ycombinator.com/item?id=20377136
Новость: https://www.opennet.ru/opennews/art.shtml?num=51056
Содержание
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 14:14 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 14:36 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,fontpath, 15:12 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,gogo, 12:37 , 09-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,fontpath, 09:28 , 10-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 14:50 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 15:13 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Ordu, 15:51 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Annoynymous, 17:12 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 18:40 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 22:10 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним3, 01:14 , 09-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Ilya Indigo, 19:14 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Michael Shigorin, 11:45 , 09-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 16:25 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,KonstantinB, 18:12 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 18:39 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 19:43 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 14:37 , 15-Июл-19
- Зафиксирована подстановка вредоносного кода в Rub...,JL2001, 19:08 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Онаним, 20:41 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 21:17 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним3, 03:13 , 09-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 21:28 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним84701, 18:26 , 09-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Kuromi, 21:42 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 23:11 , 08-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Анонимус2, 10:44 , 10-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 16:55 , 09-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Anixx, 17:32 , 09-Июл-19
- Зафиксирована подстановка вредоносного кода в Ruby-пакет St...,Аноним, 18:38 , 09-Июл-19
Сообщения в этом обсуждении
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 14:14
В похожих новостях только новости об уязвимостях в Ruby:
2. OpenNews: В Ruby-библиотеке bootstrap-sass выявлен бэкдор
3. OpenNews: В RubyGems устранено 7 уязвимостей
4. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 14:36
К новости об уязвимости в Ruby в похожих новостях только новости об уязвимостях в Ruby.
Удивительно, правда?
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено fontpath , 08-Июл-19 15:12
Это не уязвимость, а подстановка вредоносного кода в стороннюю библиотеку.
Ни Ruby, как язык, ни Ruby, как какая-либо конкретная реализация интепретатора тут не при чём.Тут поможет только внимательность пользователей и добровольный аудит, благодаря чему, собственно, и обнаружилась вредоносная подстановка.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено gogo , 09-Июл-19 12:37
Добровольный аудит после всего 547 загрузок. Это ведь не тысячи и миллионы.
Удачи, в общем. Жриты свои гемы с нодами и наслаждайтесь жизнью... )
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено fontpath , 10-Июл-19 09:28
А причём тут жрать? Вы хотите самолично аудировать всё, что попадает в публичный репозиторий куда может запушить библиотеку абсолютно каждый?Даже App Store и Google Play с их автоматическим анализом и ручным аппрувом всё равно проскакивают вредоносные программы. Это неизбежно.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 14:50
Какие теги - такие и похожести
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 15:13
>http://smiley.zzz.com.ua
>.uaМы все знаем, кого в этом винить!
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Ordu , 08-Июл-19 15:51
Хакеров Кремля?
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Annoynymous , 08-Июл-19 17:12
А есть какие-то другие хакеры?
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 18:40
Есть финский разработчик ядра. Он своим руткитом все мобильники заразил.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 22:10
У него русские корни как у потомка Российской Империи. Как ни крути, всё равно русские хакеры.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним3 , 09-Июл-19 01:14
заполонили всю сеть хакерами))) даже когда компов было раз и обчелся и то русские...))))
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Ilya Indigo , 08-Июл-19 19:14
Любой домен третьего уровня можно зарегистрировать из любой точки мира, где есть интернет!
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Michael Shigorin , 09-Июл-19 11:45
Нет.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 16:25
> Вредоносный код был добавлен только на RubyGems.org, Git-репозиторий проекта не пострадалПочему бы вообще не сделать анальную привязку пакетных репозиториев к гитовым? Скажем, пушить в пакетный может только специально обученный бот, который самостоятельно выкачает исходники из гитхаба/гитлаба и скомпилит их в бинарь? А разраб может лишь инициировать это, ничего напрямую в рубигемс не аплоадя.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено KonstantinB , 08-Июл-19 18:12
Обычно так и делается. Но у бота же будет API secret или ssh-ключик. И наверняка разработчик его где-нибудь да сохранил на всякий случай.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 18:39
А почему бы не запретить внешние пакеты? Анально привязав к разработчику языка. Если что то надо пиши разработчику он запилит запушит и выпустит релиз.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 19:43
Странная аналогия. Ожидаемым является, что то, что на гитхабе - то и в рубигемсах/нпм/whatever. НЕожидаемым является, когда они содержат разный код (или когда в пакет в репе собран из чего-то отличного от того, что лежит в гитхабе).
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 15-Июл-19 14:37
Для этого нужен житейский опыт + образование.Вместо творчества в захлёб в молодости.
Примерно таг. )
"Зафиксирована подстановка вредоносного кода в Rub..."
Отправлено JL2001 , 08-Июл-19 19:08
как левый "мантейнер" смог опубликовать пакет?
или он не левый, а нормальный, только злонамеренный?
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Онаним , 08-Июл-19 20:41
Ой. Опять через хипста-репу троянчег раздали. Неожиданно. Внезапно.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 21:17
Никогда такого не было, и вот опять!
Судя по количеству загрузок будет хорошая жатва.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним3 , 09-Июл-19 03:13
никогда говоришь и вот опять?)))) черт да сколько ж раз было это "никогда"?)))
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 21:28
Что за шрифт на скрине?
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним84701 , 09-Июл-19 18:26
> Что за шрифт на скрине?Monospace.
Хотите увидеть более приятный шрифт, смотрите оригинал:
https://withatwist.dev/strong-password-rubygem-hijacked.html
ИО КО
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Kuromi , 08-Июл-19 21:42
И сейчасконечно же выяснится, что причина в том что нет никакой двухфакторной авторизации (это прям клише уже какое-то).
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 08-Июл-19 23:11
> двухфакторной авторизацииНе авторизации, а аутентификации, двоечник.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Анонимус2 , 10-Июл-19 10:44
Где-то двухфакторная аутентификация, а где-то - вполне себе авторизация. Двоечники это те кто их путают и считают что бывает только одно из них.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 09-Июл-19 16:55
> Strong_passwordNot so strong
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Anixx , 09-Июл-19 17:32
Ну вот, причина никогда не использовать сильный пароль.
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..."
Отправлено Аноним , 09-Июл-19 18:38
ГЫЫЫ
Щас вот загрузил себе шаблон yii advanced на php. Там папка есть такая vendor. В нее все зависимости (ну то есть сторонние библиотеки) ставяться. Посмотрел на размер: 68 мегабайт. И это все исходный код. Причем я себе еще ничего не подключал, только базовый комплект.
Ну я вот чет статью прочитал и задумался: есть ли в этой папке "ЗЛОЙ умысел" или нет.