The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Rubygems.org подвергся взлому"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Rubygems.org подвергся взлому"  +/
Сообщение от opennews (??) on 31-Янв-13, 18:34 
Rubygems.org (http://Rubygems.org), популярный репозиторий модулей для приложений на языке Ruby, был скомпрометирован (http://news.ycombinator.com/item?id=5139583) неизвестными злоумышленниками, которые получили доступ к серверу путем эксплуатации уязвимости в YAML-парсере фреймворка Ruby on Rails, в котором  в январе было исправлено несколько критических (https://www.opennet.ru/opennews/art.shtml?num=35954) проблем (https://www.opennet.ru/opennews/art.shtml?num=35792) безопасности.


Выявлено (https://docs.google.com/document/d/10tuM51VKRcSHJtUZotraMlrM...), что в процессе атаки была задействована проблема безопасности в парсере Psych YAML, но уязвимость была эксплуатирована не через HTTP, а через интерфейс обработки метаданных  Rubygems. В ходе атаки в калалог был загружен подставной gem-модуль (https://gist.github.com/d891e876c53e55bf0920), содержащий файл метаданных с блоком эксплуатации уязвимости в YAML-движке. При обработке метаданных данного модуля было организовано копирование текущей конфигурации сервера (была попытка выявления ключей доступа к сервису Amazon S3) и её размещение на сайте обмена кодом Pastie.


После выявления следов взлома репозиторий был переведёт в "режим обслуживания", gem-модуль и аккаунт атакующих удалён, а ключи доступа к сервису Amazon S3 заменены. В настоящее время часть функциональности Rubygems.org восстановлена (https://twitter.com/rubygems_status) в режиме только для чтения, ряд подсистем остаётся заблокированным (http://status.rubygems.org/): ограничена работа сайта и отключены Push API и V1 API. Администраторами проекта проводится проверка целостности размещённых в каталоге модулей  для выявления возможного добавления вредоносных закладок. Проверка осуществляется по ранее сохранённым контрольным суммам, а также путём сверки содержимого зеркал. Сообщается, что 90% всех модулей уже проверены, следов их модификации не выявлено.

URL: http://www.h-online.com/open/news/item/Rubygems-site-recover...
Новость: https://www.opennet.ru/opennews/art.shtml?num=35981

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Rubygems.org подвергся взлому"  –1 +/
Сообщение от Аноним (??) on 31-Янв-13, 18:34 
C Amazon S3 прикольно, никакого рута получать не нужно. Утащил ключ под которым выполняется работа с хранилищем и меняй себе тихо что хочешь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Rubygems.org подвергся взлому"  –16 +/
Сообщение от pavlinux (ok) on 31-Янв-13, 18:35 
Это не программисты, это идиоты!!!
Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке???
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Rubygems.org подвергся взлому"  +6 +/
Сообщение от VoDA (ok) on 31-Янв-13, 18:53 
вы переплюнули сами себя )))

а на каком еще языке разрабатывать web-приложение web-программистам? явно на том, который они и развивают.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Rubygems.org подвергся взлому"  –1 +/
Сообщение от pavlinux (ok) on 31-Янв-13, 19:00 
Веб-приложения должны писать веб-разработчики, а не разработчики трансляторов (компиляторов).
А Руби это ваще, большой и жирный парсер.  
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

41. "Rubygems.org подвергся взлому"  +/
Сообщение от бедный буратино (ok) on 01-Фев-13, 15:34 
> А Руби это ваще, большой и жирный парсер.

Это ругательство или похвала? Чего сказать-то хотели?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Rubygems.org подвергся взлому"  –7 +/
Сообщение от pavlinux (ok) on 31-Янв-13, 19:06 
упс.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Rubygems.org подвергся взлому"  –2 +/
Сообщение от pavlinux (ok) on 31-Янв-13, 22:45 
Анонимные боты лютуют, за "упс" дизлайкают :)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

22. "Rubygems.org подвергся взлому"  +/
Сообщение от Аноним (??) on 01-Фев-13, 01:16 
> Анонимные боты лютуют, за "упс" дизлайкают :)

А я то думал что ты протрезвел и осознал что каркнул нечно странное...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

9. "Rubygems.org подвергся взлому"  +2 +/
Сообщение от Аноним (??) on 31-Янв-13, 21:06 
А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге? Положение, знаете ли, всё-таки обязывает самому использовать то, что разрабатываешь.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "Rubygems.org подвергся взлому"  –2 +/
Сообщение от FSA (??) on 31-Янв-13, 22:30 
Только С! Только хардкор! Без шуток.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Rubygems.org подвергся взлому"  –2 +/
Сообщение от pavlinux (ok) on 31-Янв-13, 22:47 
> А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге?

Это для гламурных бландинок!  Только PLAIN ASCII TEXT!  

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Rubygems.org подвергся взлому"  +3 +/
Сообщение от Andrew Kolchoogin on 31-Янв-13, 23:35 
Настоящие программисты вообще не пользуются трансляторами. Они пишут непосредственно на языке машинных инструкций, вычисляя адреса переходов и вызовов подпрограмм на абаке, высеченном собственноручно на граните от могильной плиты Ады Аугусты Лавлейс.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Rubygems.org подвергся взлому"  +/
Сообщение от Аноним (??) on 01-Фев-13, 01:17 
> Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке???

Все правильно сделали: в старину был нормальный подход к проверке качества: кузнец надевал сделанные им доспехи и по ним со всей дури шибали мечом. Схалтурил - ну извини, сам виноват. Ну вот увы, эти кузнецы - лоханулись.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "Rubygems.org подвергся взлому"  –6 +/
Сообщение от h31 (ok) on 01-Фев-13, 00:42 
Хех, ну ты блин сравнил. PHP - это просто средство для зарабатывания денег. Например, в небольших городах зачастую есть вакансии только для PHP и 1C, не хочешь лезть в финансовую сферу - придется идти в PHP, кушать-то хочется. Да, язык с кучей проблем, сам его не люблю, но с другой стороны в Сети работают миллионы сайтов на PHP, т.е. это реально работающая технология.
А вот Ruby - это чистые понты. В одном кармане айпхон, в другом - айпэд, в рюкзаке - макбук, на айпхоне открыто расписание митингов (слово-то какое выбрали!) стартаперов. Ну сам подумай: с одной стороны, на редкость тормознутый интерпретатор, с другой - по словам рубистов производительность чаще всего упирается в БД. То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Rubygems.org подвергся взлому"  +4 +/
Сообщение от Michael Shigorin email(ok) on 01-Фев-13, 01:21 
> То есть получается, что задачи, решаемые с помощью руби на редкость примитивны

Знаете, а ведь кроме PHP с 1С есть ещё огород и лопата.  При этом работа на свежем воздухе улучшает кровоснабжение мозга, в отличие от них.  Ну и глупости такие в голову не лезут.

А в перерывах между рядами может хорошо пойти SICP и что-нибудь толковое по алгоритмам и (особенно) структурам данных.

Понимаю, что за бортом февраль, но до апреля точно не прокиснет.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Rubygems.org подвергся взлому"  +/
Сообщение от junk on 01-Фев-13, 02:01 
а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому впринципе наплевать на чём разрабатывется его сайтик и ничегошеньки не мешает сделать на чём угодно.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

44. "Rubygems.org подвергся взлому"  +/
Сообщение от Michael Shigorin email(ok) on 02-Фев-13, 16:33 
> а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому
> впринципе наплевать на чём разрабатывется его сайтик

Это неопытный или незаинтересованный.  Первый набьёт свои шишки по части сопровождения и доработки со временем -- может, поумнеет.  С последним время тратить избегаю и другим не посоветую.

> и ничегошеньки не мешает сделать на чём угодно.

А тут тоже выбор -- какой опыт думаешь приобрести, в какую точку с ним прийти...  Если тяп-ляп, это одно; если вдумчиво и отвечая за результат -- совсем другое.  Языки и фреймворки тут косвенно тоже при чём -- через культуру, которая уже сложилась в сообществах их разработчиков и пользователей -- хотя это не догма, конечно.

Не совсем в эту тему, но перекликается и вдруг кому-то поможет избежать такого "развития": http://egorfine.com/ru/articles/worse-than-failure/

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

37. "Rubygems.org подвергся взлому"  +/
Сообщение от angra (ok) on 01-Фев-13, 08:58 
Ruby не кончается на рельсах и вебе, в отличии от пыха. Я бы даже сказал, что рельсы это весьма малая часть рубина, примерно как джанго для питона или каталист для перла, просто наиболее известная пыхарям вроде вас.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

38. "Rubygems.org подвергся взлому"  +2 +/
Сообщение от Сержант Скотч on 01-Фев-13, 10:03 
>То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора.

если вы занимаетесь числодроблением на perl/python/ruby/php - вам явно надо к врачу.
да, у python есть numpy, но это свой отдельный мир с python-биндингами.

ну и измерять примитивно/не примитивно по уровню нагрузки на cpu - это вообще 5 баллов.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "Rubygems.org подвергся взлому"  +/
Сообщение от бедный буратино (ok) on 01-Фев-13, 15:33 
www.php.ru/news.pl

я уже даже не помню, шутка ли того времени это или реальность пятнадцатилетней давности.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

30. "Rubygems.org подвергся взлому"  +/
Сообщение от бедный буратино (ok) on 01-Фев-13, 04:19 
Рубицентрированность на рельсах вышла боком. Как, впрочем, большевики и предсказывали ещё в 2008.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Rubygems.org подвергся взлому"  +/
Сообщение от бедный буратино (ok) on 01-Фев-13, 04:22 
Жаль только, что trac не так нагляден, как redmine, и приходится redmine держать в 8 контейнерах...
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру