форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Rubygems.org подвергся взлому"	+/–
Сообщение от opennews (??) on 31-Янв-13, 18:34
Rubygems.org (http://Rubygems.org), популярный репозиторий модулей для приложений на языке Ruby, был скомпрометирован (http://news.ycombinator.com/item?id=5139583) неизвестными злоумышленниками, которые получили доступ к серверу путем эксплуатации уязвимости в YAML-парсере фреймворка Ruby on Rails, в котором  в январе было исправлено несколько критических (http://www.opennet.dev/opennews/art.shtml?num=35954) проблем (http://www.opennet.dev/opennews/art.shtml?num=35792) безопасности. Выявлено (https://docs.google.com/document/d/10tuM51VKRcSHJtUZotraMlrM...), что в процессе атаки была задействована проблема безопасности в парсере Psych YAML, но уязвимость была эксплуатирована не через HTTP, а через интерфейс обработки метаданных  Rubygems. В ходе атаки в калалог был загружен подставной gem-модуль (https://gist.github.com/d891e876c53e55bf0920), содержащий файл метаданных с блоком эксплуатации уязвимости в YAML-движке. При обработке метаданных данного модуля было организовано копирование текущей конфигурации сервера (была попытка выявления ключей доступа к сервису Amazon S3) и её размещение на сайте обмена кодом Pastie. После выявления следов взлома репозиторий был переведёт в "режим обслуживания", gem-модуль и аккаунт атакующих удалён, а ключи доступа к сервису Amazon S3 заменены. В настоящее время часть функциональности Rubygems.org восстановлена (https://twitter.com/rubygems_status) в режиме только для чтения, ряд подсистем остаётся заблокированным (http://status.rubygems.org/): ограничена работа сайта и отключены Push API и V1 API. Администраторами проекта проводится проверка целостности размещённых в каталоге модулей  для выявления возможного добавления вредоносных закладок. Проверка осуществляется по ранее сохранённым контрольным суммам, а также путём сверки содержимого зеркал. Сообщается, что 90% всех модулей уже проверены, следов их модификации не выявлено. URL: http://www.h-online.com/open/news/item/Rubygems-site-recover... Новость: http://www.opennet.dev/opennews/art.shtml?num=35981
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Rubygems.org подвергся взлому"	–1 +/–
Сообщение от Аноним (??) on 31-Янв-13, 18:34
C Amazon S3 прикольно, никакого рута получать не нужно. Утащил ключ под которым выполняется работа с хранилищем и меняй себе тихо что хочешь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Rubygems.org подвергся взлому"	–16 +/–
Сообщение от pavlinux (ok) on 31-Янв-13, 18:35
Это не программисты, это идиоты!!! Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке???
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Rubygems.org подвергся взлому"	+6 +/–
	Сообщение от VoDA (ok) on 31-Янв-13, 18:53
	вы переплюнули сами себя ))) а на каком еще языке разрабатывать web-приложение web-программистам? явно на том, который они и развивают.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Rubygems.org подвергся взлому"	–1 +/–
	Сообщение от pavlinux (ok) on 31-Янв-13, 19:00
	Веб-приложения должны писать веб-разработчики, а не разработчики трансляторов (компиляторов). А Руби это ваще, большой и жирный парсер.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	41. "Rubygems.org подвергся взлому"	+/–
	Сообщение от бедный буратино (ok) on 01-Фев-13, 15:34
	> А Руби это ваще, большой и жирный парсер. Это ругательство или похвала? Чего сказать-то хотели?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	5. "Rubygems.org подвергся взлому"	–7 +/–
	Сообщение от pavlinux (ok) on 31-Янв-13, 19:06
	упс.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	13. "Rubygems.org подвергся взлому"	–2 +/–
	Сообщение от pavlinux (ok) on 31-Янв-13, 22:45
	Анонимные боты лютуют, за "упс" дизлайкают :)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	22. "Rubygems.org подвергся взлому"	+/–
	Сообщение от Аноним (??) on 01-Фев-13, 01:16
	> Анонимные боты лютуют, за "упс" дизлайкают :) А я то думал что ты протрезвел и осознал что каркнул нечно странное...
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	9. "Rubygems.org подвергся взлому"	+2 +/–
	Сообщение от Аноним (??) on 31-Янв-13, 21:06
	А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге? Положение, знаете ли, всё-таки обязывает самому использовать то, что разрабатываешь.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	12. "Rubygems.org подвергся взлому"	–2 +/–
	Сообщение от FSA (??) on 31-Янв-13, 22:30
	Только С! Только хардкор! Без шуток.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	15. "Rubygems.org подвергся взлому"	–2 +/–
	Сообщение от pavlinux (ok) on 31-Янв-13, 22:47
	> А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге? Это для гламурных бландинок!  Только PLAIN ASCII TEXT!
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	17. "Rubygems.org подвергся взлому"	+3 +/–
	Сообщение от Andrew Kolchoogin on 31-Янв-13, 23:35
	Настоящие программисты вообще не пользуются трансляторами. Они пишут непосредственно на языке машинных инструкций, вычисляя адреса переходов и вызовов подпрограмм на абаке, высеченном собственноручно на граните от могильной плиты Ады Аугусты Лавлейс.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	23. "Rubygems.org подвергся взлому"	+/–
	Сообщение от Аноним (??) on 01-Фев-13, 01:17
	> Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке??? Все правильно сделали: в старину был нормальный подход к проверке качества: кузнец надевал сделанные им доспехи и по ним со всей дури шибали мечом. Схалтурил - ну извини, сам виноват. Ну вот увы, эти кузнецы - лоханулись.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	20. "Rubygems.org подвергся взлому"	–6 +/–
	Сообщение от h31 (ok) on 01-Фев-13, 00:42
	Хех, ну ты блин сравнил. PHP - это просто средство для зарабатывания денег. Например, в небольших городах зачастую есть вакансии только для PHP и 1C, не хочешь лезть в финансовую сферу - придется идти в PHP, кушать-то хочется. Да, язык с кучей проблем, сам его не люблю, но с другой стороны в Сети работают миллионы сайтов на PHP, т.е. это реально работающая технология. А вот Ruby - это чистые понты. В одном кармане айпхон, в другом - айпэд, в рюкзаке - макбук, на айпхоне открыто расписание митингов (слово-то какое выбрали!) стартаперов. Ну сам подумай: с одной стороны, на редкость тормознутый интерпретатор, с другой - по словам рубистов производительность чаще всего упирается в БД. То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	25. "Rubygems.org подвергся взлому"	+4 +/–
	Сообщение от Michael Shigorin (ok) on 01-Фев-13, 01:21
	> То есть получается, что задачи, решаемые с помощью руби на редкость примитивны Знаете, а ведь кроме PHP с 1С есть ещё огород и лопата.  При этом работа на свежем воздухе улучшает кровоснабжение мозга, в отличие от них.  Ну и глупости такие в голову не лезут. А в перерывах между рядами может хорошо пойти SICP и что-нибудь толковое по алгоритмам и (особенно) структурам данных. Понимаю, что за бортом февраль, но до апреля точно не прокиснет.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	28. "Rubygems.org подвергся взлому"	+/–
	Сообщение от junk on 01-Фев-13, 02:01
	а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому впринципе наплевать на чём разрабатывется его сайтик и ничегошеньки не мешает сделать на чём угодно.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	44. "Rubygems.org подвергся взлому"	+/–
	Сообщение от Michael Shigorin (ok) on 02-Фев-13, 16:33
	> а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому > впринципе наплевать на чём разрабатывется его сайтик Это неопытный или незаинтересованный.  Первый набьёт свои шишки по части сопровождения и доработки со временем -- может, поумнеет.  С последним время тратить избегаю и другим не посоветую. > и ничегошеньки не мешает сделать на чём угодно. А тут тоже выбор -- какой опыт думаешь приобрести, в какую точку с ним прийти...  Если тяп-ляп, это одно; если вдумчиво и отвечая за результат -- совсем другое.  Языки и фреймворки тут косвенно тоже при чём -- через культуру, которая уже сложилась в сообществах их разработчиков и пользователей -- хотя это не догма, конечно. Не совсем в эту тему, но перекликается и вдруг кому-то поможет избежать такого "развития": http://egorfine.com/ru/articles/worse-than-failure/
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	37. "Rubygems.org подвергся взлому"	+/–
	Сообщение от angra (ok) on 01-Фев-13, 08:58
	Ruby не кончается на рельсах и вебе, в отличии от пыха. Я бы даже сказал, что рельсы это весьма малая часть рубина, примерно как джанго для питона или каталист для перла, просто наиболее известная пыхарям вроде вас.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	38. "Rubygems.org подвергся взлому"	+2 +/–
	Сообщение от Сержант Скотч on 01-Фев-13, 10:03
	>То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора. если вы занимаетесь числодроблением на perl/python/ruby/php - вам явно надо к врачу. да, у python есть numpy, но это свой отдельный мир с python-биндингами. ну и измерять примитивно/не примитивно по уровню нагрузки на cpu - это вообще 5 баллов.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	40. "Rubygems.org подвергся взлому"	+/–
	Сообщение от бедный буратино (ok) on 01-Фев-13, 15:33
	www.php.ru/news.pl я уже даже не помню, шутка ли того времени это или реальность пятнадцатилетней давности.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

30. "Rubygems.org подвергся взлому"	+/–
Сообщение от бедный буратино (ok) on 01-Фев-13, 04:19
Рубицентрированность на рельсах вышла боком. Как, впрочем, большевики и предсказывали ещё в 2008.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	31. "Rubygems.org подвергся взлому"	+/–
	Сообщение от бедный буратино (ok) on 01-Фев-13, 04:22
	Жаль только, что trac не так нагляден, как redmine, и приходится redmine держать в 8 контейнерах...
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема