The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

31.01.2013 17:57  Rubygems.org подвергся взлому

Rubygems.org, популярный репозиторий модулей для приложений на языке Ruby, был скомпрометирован неизвестными злоумышленниками, которые получили доступ к серверу путем эксплуатации уязвимости в YAML-парсере фреймворка Ruby on Rails, в котором в январе было исправлено несколько критических проблем безопасности.

Выявлено, что в процессе атаки была задействована проблема безопасности в парсере Psych YAML, но уязвимость была эксплуатирована не через HTTP, а через интерфейс обработки метаданных Rubygems. В ходе атаки в каталог был загружен подставной gem-модуль, содержащий файл метаданных с блоком эксплуатации уязвимости в YAML-движке. При обработке метаданных данного модуля было организовано копирование текущей конфигурации сервера (была попытка выявления ключей доступа к сервису хранения Amazon S3) и её размещение на сайте обмена кодом Pastie.

После выявления следов взлома репозиторий был переведён в "режим обслуживания", gem-модуль и аккаунт атакующих удалён, а ключи доступа к сервису Amazon S3 заменены. В настоящее время часть функциональности Rubygems.org восстановлена в режиме только для чтения, ряд подсистем остаётся заблокированным: ограничена работа сайта и отключены Push API и V1 API. Администраторами проекта проводится проверка целостности размещённых в каталоге модулей для выявления возможного добавления вредоносных закладок. Проверка осуществляется по ранее сохранённым контрольным суммам, а также путём сверки содержимого зеркал. Сообщается, что 90% всех модулей уже проверены, следов их модификации не выявлено.

  1. Главная ссылка к новости (http://www.h-online.com/open/n...)
  2. OpenNews: Обновление Ruby on Rails 3.0.20 и 2.3.16 с устранением критической уязвимости
  3. OpenNews: В Ruby on Rails обнаружена критическая уязвимость, позволяющая выполнить код на сервере
  4. OpenNews: Инфраструктура проекта FreeBSD подверглась взлому, не исключена подмена пакетов
  5. OpenNews: Сайт wiki.debian.org подвергся взлому (дополнено)
  6. OpenNews: Опубликована информация о взломе wiki.python.org
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ruby, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 18:34, 31/01/2013 [ответить] [смотреть все]
  • –1 +/
    C Amazon S3 прикольно, никакого рута получать не нужно Утащил ключ под которым ... весь текст скрыт [показать]
     
  • 1.2, pavlinux, 18:35, 31/01/2013 [ответить] [смотреть все]  
  • –16 +/
    Это не программисты, это идиоты Кто же программирует, работает и создаёт инф... весь текст скрыт [показать]
     
     
  • 2.3, VoDA, 18:53, 31/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    вы переплюнули сами себя )))

    а на каком еще языке разрабатывать web-приложение web-программистам? явно на том, который они и развивают.

     
     
  • 3.4, pavlinux, 19:00, 31/01/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Веб-приложения должны писать веб-разработчики, а не разработчики трансляторов к... весь текст скрыт [показать]
     
     
  • 4.41, бедный буратино, 15:34, 01/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Это ругательство или похвала Чего сказать-то хотели ... весь текст скрыт [показать]
     
  • 3.5, pavlinux, 19:06, 31/01/2013 [^] [ответить] [смотреть все]  
  • –7 +/
    упс.
     
     
  • 4.13, pavlinux, 22:45, 31/01/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Анонимные боты лютуют, за "упс" дизлайкают :)
     
     
  • 5.22, Аноним, 01:16, 01/02/2013 [^] [ответить] [смотреть все]  
  • +/
    А я то думал что ты протрезвел и осознал что каркнул нечно странное ... весь текст скрыт [показать]
     
  • 2.9, Аноним, 21:06, 31/01/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А на чём На пехапе На питоне Может, на хаскеле или эрланге Положение, знаете... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, FSA, 22:30, 31/01/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Только С! Только хардкор! Без шуток.
     
  • 3.15, pavlinux, 22:47, 31/01/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Это для гламурных бландинок Только PLAIN ASCII TEXT ... весь текст скрыт [показать]
     
  • 3.17, Andrew Kolchoogin, 23:35, 31/01/2013 [^] [ответить] [смотреть все]  
  • +3 +/
    Настоящие программисты вообще не пользуются трансляторами Они пишут непосредств... весь текст скрыт [показать]
     
  • 2.23, Аноним, 01:17, 01/02/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Все правильно сделали в старину был нормальный подход к проверке качества кузн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, h31, 00:42, 01/02/2013 [^] [ответить] [смотреть все]  
  • –6 +/
    Хех, ну ты блин сравнил PHP - это просто средство для зарабатывания денег Напр... весь текст скрыт [показать]
     
     
  • 4.25, Michael Shigorin, 01:21, 01/02/2013 [^] [ответить] [смотреть все]  
  • +4 +/
    Знаете, а ведь кроме PHP с 1С есть ещё огород и лопата При этом работа на свеж... весь текст скрыт [показать]
     
     
  • 5.28, junk, 02:01, 01/02/2013 [^] [ответить] [смотреть все]  
  • +/
    а кроме огорода и лопаты тут я скорее согласен есть заказчик, которому впринци... весь текст скрыт [показать]
     
     
  • 6.44, Michael Shigorin, 16:33, 02/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Это неопытный или незаинтересованный Первый набьёт свои шишки по части сопрово... весь текст скрыт [показать]
     
  • 4.37, angra, 08:58, 01/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Ruby не кончается на рельсах и вебе, в отличии от пыха Я бы даже сказал, что ре... весь текст скрыт [показать]
     
  • 4.38, Сержант Скотч, 10:03, 01/02/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    если вы занимаетесь числодроблением на perl python ruby php - вам явно надо к вр... весь текст скрыт [показать]
     
  • 2.40, бедный буратино, 15:33, 01/02/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    www php ru news pl я уже даже не помню, шутка ли того времени это или реальность... весь текст скрыт [показать] [показать ветку]
     
  • 1.30, бедный буратино, 04:19, 01/02/2013 [ответить] [смотреть все]  
  • +/
    Рубицентрированность на рельсах вышла боком. Как, впрочем, большевики и предсказывали ещё в 2008.
     
     
  • 2.31, бедный буратино, 04:22, 01/02/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Жаль только, что trac не так нагляден, как redmine, и приходится redmine держать... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor