В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

Все инфопродукты и приватная информация бесплатно

Вернуться   Proxy-Base Community - Анонимность и безопасность в интернете. > Proxy-Base - Information > Новости IT

Ответ
 
LinkBack Опции темы Поиск в этой теме Опции просмотра
Старый 08.04.2016, 01:10   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 696
Member ID: 35426

Репутация: 18
Репутация: 18
Сказал(а) спасибо: 0
Поблагодарили 6 раз(а) в 6 сообщениях
Топикстартер (автор темы) По умолчанию В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории

В Rubygems.org, популярном репозиторий модулей для приложений на языке Ruby, выявлена серьёзная проблема безопасности, позволявшая атакующим заменить некоторые gem-файлы на серверах проекта. Для исключения наличия в репозитории подставных файлов была проведена проверка всех файлов, загруженных после 8 февраля 2015 года. Проверка не выявила вредоносной активности.

Проблема затрагивает пакеты, в имени которых присутствует символ дефиса (например, "test-unit"). Неавторизированный пользователь мог заменить подобные gem-файлы на собственные варианты. Суть проблемы сводится к тому, что имена файлов разбирались как "имя_пакета-версия", что приводило к проблемам при наличии дефиса в имени пакета. 2 апреля разработчики RubyGems внесли исправление блокирующее работу присланного им эксплоита, после чего выявили ещё одну уязвимость, которая была устранена 4 апреля. Так как подменённые файлы не соответствуют размещённой для оригинальных пакетов контрольной сумме SHA256, разработчики смогли исключить наличие скрытой подмены. Кроме того, подменённые файлы не могли быть установлены командой "gem install".

Тем не менее, сохранение контрольной суммы SHA256 было введено в практику только 8 февраля 2015 года, т.е. автоматизированно можно проверить только целостность пакетов, размещённых после этой даты. При том, что в качестве даты появления первой узвимости, затрагивающей пакеты с дефисом в имени, называется 11 июня 2014 года. Для более старых пакетов авторам предлагается изучить их целостность самостоятельно, а пользователям применять такие пакеты с большой осторожностью.

Вторая уязвимость, проявляющаяся в пакетах с несколькими версиями объектов S3, присутствует с момента основания RubyGems.org. Разработчики провели анализ более 750 подобных пакетов и сопоставили дату их модификации на сервере c датой создания записи с БД. Для 6 пакетов даты отличались более чем на 5 секунд. Для данных пакетов была выполнена ручная проверка при помощи утилиты diff, которая не выявила проблем.
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Уязвимость в Yahoo! позволяла без труда подменять имя отправителя письма Proxy-Base-News Новости IT 0 16.03.2016 13:10
В Android устранена уязвимость, эксплуатируемая через беспроводную сеть Proxy-Base-News Новости IT 0 04.02.2016 05:40
В Joomla устранена ещё одна критическая уязвимость Proxy-Base-News Новости IT 0 22.12.2015 22:00
[Продажа] Криптую файлы blackmars Разное 4 18.02.2012 01:04
Как подменять пакеты? Ktojeon Флейм 0 12.10.2011 10:17




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.