https://www.opennet.ru/openforum/vsluhforumID3/118205.html В популярном gem-пакете rest-client (https://rubygems.org/gems/rest-client), насчитывающем в сумме 113 миллиона загрузок, выявлена (https://github.com/rest-client/rest-client/issues/713) подстановка вредоносного кода (CVE-2019-15224), который загружает исполняемые команды и отправляет информацию на внешний хост. Атака была произведена через компрометацию (https://github.com/rest-client/rest-client/issues/713#issuecomment-522735093) учётной записи разработчика rest-client в репозитории rubygems.org, после чего злоумышленники 13 и 14 августа опубликовали выпуски 1.6.10-1.6.13, включающие вредоносные изменения. До блокировки вредоносных версий их успели загрузить около тысячи пользователей (атакующие чтобы не привлекать внимание выпустили обновления старых версий).<br><br><br><br>Вредоносное изменение переопределяет метод "#authenticate" в классе <br>Identity, после чего каждый вызов метода приводит к отправке переданного при попытке аутентификации email и пароля на хост злоумышленников. Таким образом осуществляется перех https://www.opennet.ru/openforum/vsluhforumID3/118205.html#21 Wed, 21 Aug 2019 21:32:33 GMT Какие конфликты плодит блокировка версии?<br>Как нужно менять систему? Может, у вас есть удачные примеры?<br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#20 Wed, 21 Aug 2019 18:25:24 GMT На pypi нет цифровых подписей и можно выпустить новый релиз. А блокировка версий лишь конфликты плодит. Тут всю систему менять надо.<br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#19 Wed, 21 Aug 2019 16:47:16 GMT Спасибо, мы поняли, что деле было не в бобине... в ведущем проекта. Мало смузи было, и тупые прогеры не подворачивали, мы тебе сочувствуем всей маршруткой.<br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#17 Wed, 21 Aug 2019 12:50:54 GMT Каким образом докер может показать какой-то уровень?<br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#16 Wed, 21 Aug 2019 11:43:41 GMT &gt;И за много лет ни одной новости про компрометацию библиотек java<br><br>Как и библиотек COBOL'a и прочих окаменелостей.<br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#15 Wed, 21 Aug 2019 09:36:28 GMT нда ... прям классический пример двоемыслия<br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#14 Wed, 21 Aug 2019 07:17:16 GMT докер ни при чем, конечно.<br>он указан чисто как показатель уровня<br>развития товарищей неспособных заранее<br>предусмотреть подобную ситуацию и, тем более,<br>попытаться ее смультигейтить.<br><br>одно время я вел проект на руби, кстати,<br>и заставлял прогов использовать фильтрующий<br>прокси, сильно сомневаюсь, что сейчас<br>там это есть. <br><br>и да, дело опять же не в Ruby :)<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#13 Wed, 21 Aug 2019 07:05:54 GMT &gt; привет девопсам с докерами<br>&gt; Разработчик rest-client уточнил, что злоумышленники смогли захватить управление его учётной записью из-за использования ненадёжного пароля, который был в обиходе более 10 лет<br><br>Казалось бы, причём здесь докер.<br> https://www.opennet.ru/openforum/vsluhforumID3/118205.html#12 Wed, 21 Aug 2019 07:02:04 GMT видимо потому, что твоя жаба никому на_фиг не вс_ралась (кроме ынтырпрайза)<br>