The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Зафиксирована подстановка вредоносного кода в  Rub..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксирована подстановка вредоносного кода в  Rub..."  +/
Сообщение от opennews (??), 08-Июл-19, 14:14 
В опубликованном (https://rubygems.org/gems/strong_password/versions/0.0.7) 25 июня  выпуске gem-пакета Strong_password 0.7 выявлено (https://withatwist.dev/strong-password-rubygem-hijacked.html)  вредоносное изменение (CVE-2019-13354 (https://rubysec.com/advisories/strong_password-CVE-2019-13354)), загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а версии 0.6 - около 38 тысяч. Для вредоносной версии число загрузок указано 537, но не ясно насколько оно соответствует действительности с учётом того, что данный выпуск уже удалён с Ruby Gems.

Библиотека Strong_password предоставляет средства для проверки надёжности пароля, задаваемого пользователем при регистрации.
Среди (https://rubygems.org/gems/strong_password/reverse_dependencies) использующих Strong_password  пакетов think_feel_do_engine (65 тысяч загрузок), think_feel_do_dashboard (15 тысяч загрузок) и
superhosting (1.5 тыс). Отмечается, что вредоносное изменение было добавлено неизвестным, перехватившим у автора контроль за репозиторием.

Вредоносный код был добавлен только на RubyGems.org, Git-репозиторий (https://github.com/bdmac/strong_) проекта не пострадал. Проблема была выявлена после того, как один из разработчиков, использующий в своих проектах Strong_password, начал разбираться, почему в репозитории последнее изменение было добавлено более 6 месяцев назад, но на RubyGems появился новый релиз, опубликованный от лица нового мэйтенера, про которого никто до этого ничего не слышал.

Атакующий мог организовать выполнение произвольного кода на серверах, использующих проблемную версию Strong_password. В момент обнаружения проблемы с Pastebin загружался скрипт для организации запуска любого кода, переданного клиентом через Cookie "__id" и  закодированного при помощи метода Base64. Вредоносный код также отправлял параметры хоста, на который установлен вредоносный вариант Strong_password, на подконтрольный злоумышленнику сервер.


    


URL: https://news.ycombinator.com/item?id=20377136
Новость: https://www.opennet.ru/opennews/art.shtml?num=51056

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –2 +/
Сообщение от Аноним (1), 08-Июл-19, 14:14 
В похожих новостях только новости об уязвимостях в Ruby:
2. OpenNews: В Ruby-библиотеке bootstrap-sass выявлен бэкдор
3. OpenNews: В RubyGems устранено 7 уязвимостей
4. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +24 +/
Сообщение от Аноним (2), 08-Июл-19, 14:36 
К новости об уязвимости в Ruby в похожих новостях только новости об уязвимостях в Ruby.
Удивительно, правда?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +7 +/
Сообщение от fontpath (?), 08-Июл-19, 15:12 
Это не уязвимость, а подстановка вредоносного кода в стороннюю библиотеку.
Ни Ruby, как язык, ни Ruby, как какая-либо конкретная реализация интепретатора тут не при чём.

Тут поможет только внимательность пользователей и добровольный аудит, благодаря чему, собственно, и обнаружилась вредоносная подстановка.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от gogo (?), 09-Июл-19, 12:37 
Добровольный аудит после всего 547 загрузок. Это ведь не тысячи  и миллионы.
Удачи, в общем. Жриты свои гемы с нодами и наслаждайтесь жизнью... )
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

29. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от fontpath (?), 10-Июл-19, 09:28 
А причём тут жрать? Вы хотите самолично аудировать всё, что попадает в публичный репозиторий куда может запушить библиотеку абсолютно каждый?

Даже App Store и Google Play с их автоматическим анализом и ручным аппрувом всё равно проскакивают вредоносные программы. Это неизбежно.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

3. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +1 +/
Сообщение от Аноним (3), 08-Июл-19, 14:50 
Какие теги - такие и похожести
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –3 +/
Сообщение от Аноним (5), 08-Июл-19, 15:13 
>http://smiley.zzz.com.ua
>.ua

Мы все знаем, кого в этом винить!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +5 +/
Сообщение от Ordu (ok), 08-Июл-19, 15:51 
Хакеров Кремля?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +3 +/
Сообщение от Annoynymous (ok), 08-Июл-19, 17:12 
А есть какие-то другие хакеры?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Аноним (11), 08-Июл-19, 18:40 
Есть финский разработчик ядра. Он своим руткитом все мобильники заразил.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Аноним (19), 08-Июл-19, 22:10 
У него русские корни как у потомка Российской Империи. Как ни крути, всё равно русские хакеры.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –2 +/
Сообщение от Аноним3 (?), 09-Июл-19, 01:14 
заполонили всю сеть хакерами))) даже когда компов было раз и обчелся и то русские...))))
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

13. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +4 +/
Сообщение от Ilya Indigo (ok), 08-Июл-19, 19:14 
Любой домен третьего уровня можно зарегистрировать из любой точки мира, где есть интернет!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

23. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 09-Июл-19, 11:45 
Нет.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

7. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +1 +/
Сообщение от Аноним (7), 08-Июл-19, 16:25 
> Вредоносный код был добавлен только на RubyGems.org, Git-репозиторий проекта не пострадал

Почему бы вообще не сделать анальную привязку пакетных репозиториев к гитовым? Скажем, пушить в пакетный может только специально обученный бот, который самостоятельно выкачает исходники из гитхаба/гитлаба и скомпилит их в бинарь? А разраб может лишь инициировать это, ничего напрямую в рубигемс не аплоадя.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от KonstantinB (ok), 08-Июл-19, 18:12 
Обычно так и делается. Но у бота же будет API secret или ssh-ключик. И наверняка разработчик его где-нибудь да сохранил на всякий случай.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –3 +/
Сообщение от Аноним (11), 08-Июл-19, 18:39 
А почему бы не запретить внешние пакеты? Анально привязав к разработчику языка. Если что то надо пиши разработчику он запилит запушит и выпустит релиз.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

14. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +2 +/
Сообщение от Аноним (7), 08-Июл-19, 19:43 
Странная аналогия. Ожидаемым является, что то, что на гитхабе - то и в рубигемсах/нпм/whatever. НЕожидаемым является, когда они содержат разный код (или когда в пакет в репе собран из чего-то отличного от того, что лежит в гитхабе).
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

31. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Аноним (31), 15-Июл-19, 14:37 
Для этого нужен житейский опыт + образование.

Вместо творчества в захлёб в молодости.

Примерно таг. )

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Зафиксирована подстановка вредоносного кода в  Rub..."  +/
Сообщение от JL2001 (ok), 08-Июл-19, 19:08 
как левый "мантейнер" смог опубликовать пакет?
или он не левый, а нормальный, только злонамеренный?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Онаним (?), 08-Июл-19, 20:41 
Ой. Опять через хипста-репу троянчег раздали. Неожиданно. Внезапно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Аноним (16), 08-Июл-19, 21:17 
Никогда такого не было, и вот опять!
Судя по количеству загрузок будет хорошая жатва.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –2 +/
Сообщение от Аноним3 (?), 09-Июл-19, 03:13 
никогда говоришь и вот опять?)))) черт да сколько ж раз было это "никогда"?)))
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Аноним (17), 08-Июл-19, 21:28 
Что за шрифт на скрине?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Аноним84701 (ok), 09-Июл-19, 18:26 
> Что за шрифт на скрине?

Monospace.
Хотите увидеть более приятный шрифт, смотрите оригинал:
https://withatwist.dev/strong-password-rubygem-hijacked.html

ИО КО

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Kuromi (ok), 08-Июл-19, 21:42 
И сейчасконечно же выяснится, что причина в том что нет никакой двухфакторной авторизации (это прям клише уже какое-то).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –1 +/
Сообщение от Аноним (20), 08-Июл-19, 23:11 
> двухфакторной авторизации

Не авторизации, а аутентификации, двоечник.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

30. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Анонимус2 (?), 10-Июл-19, 10:44 
Где-то двухфакторная аутентификация, а где-то - вполне себе авторизация. Двоечники это те кто их путают и считают что бывает только одно из них.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Аноним (25), 09-Июл-19, 16:55 
> Strong_password

Not so strong

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  +/
Сообщение от Anixxemail (?), 09-Июл-19, 17:32 
Ну вот, причина никогда не использовать сильный пароль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."  –1 +/
Сообщение от Аноним (28), 09-Июл-19, 18:38 
ГЫЫЫ
Щас вот загрузил себе шаблон  yii advanced на php. Там папка есть такая vendor. В нее все зависимости (ну то есть сторонние библиотеки) ставяться. Посмотрел на размер: 68 мегабайт. И это все исходный код. Причем я себе еще ничего не подключал, только базовый комплект.
Ну я вот чет статью прочитал и задумался: есть ли в этой папке "ЗЛОЙ умысел" или нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру