Rubygems.org подвергся взлому

31.01.2013 17:57

Rubygems.org, популярный репозиторий модулей для приложений на языке Ruby, был скомпрометирован неизвестными злоумышленниками, которые получили доступ к серверу путем эксплуатации уязвимости в YAML-парсере фреймворка Ruby on Rails, в котором в январе было исправлено несколько критических проблем безопасности.

Выявлено, что в процессе атаки была задействована проблема безопасности в парсере Psych YAML, но уязвимость была эксплуатирована не через HTTP, а через интерфейс обработки метаданных Rubygems. В ходе атаки в каталог был загружен подставной gem-модуль, содержащий файл метаданных с блоком эксплуатации уязвимости в YAML-движке. При обработке метаданных данного модуля было организовано копирование текущей конфигурации сервера (была попытка выявления ключей доступа к сервису хранения Amazon S3) и её размещение на сайте обмена кодом Pastie.

После выявления следов взлома репозиторий был переведён в "режим обслуживания", gem-модуль и аккаунт атакующих удалён, а ключи доступа к сервису Amazon S3 заменены. В настоящее время часть функциональности Rubygems.org восстановлена в режиме только для чтения, ряд подсистем остаётся заблокированным: ограничена работа сайта и отключены Push API и V1 API. Администраторами проекта проводится проверка целостности размещённых в каталоге модулей для выявления возможного добавления вредоносных закладок. Проверка осуществляется по ранее сохранённым контрольным суммам, а также путём сверки содержимого зеркал. Сообщается, что 90% всех модулей уже проверены, следов их модификации не выявлено.

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/35981-ruby

Ключевые слова: ruby, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, Аноним (-), 18:34, 31/01/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
C Amazon S3 прикольно, никакого рута получать не нужно. Утащил ключ под которым выполняется работа с хранилищем и меняй себе тихо что хочешь.

1.2, pavlinux (ok), 18:35, 31/01/2013 [ответить] [﹢﹢﹢] [ · · · ]	–16 +/–
Это не программисты, это идиоты!!! Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке???

2.3, VoDA (ok), 18:53, 31/01/2013 [^] [^^] [^^^] [ответить]	+6 +/–
вы переплюнули сами себя ))) а на каком еще языке разрабатывать web-приложение web-программистам? явно на том, который они и развивают.

3.4, pavlinux (ok), 19:00, 31/01/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Веб-приложения должны писать веб-разработчики, а не разработчики трансляторов (компиляторов). А Руби это ваще, большой и жирный парсер.

4.41, бедный буратино (ok), 15:34, 01/02/2013 [^] [^^] [^^^] [ответить]	+/–
> А Руби это ваще, большой и жирный парсер. Это ругательство или похвала? Чего сказать-то хотели?

3.5, pavlinux (ok), 19:06, 31/01/2013 [^] [^^] [^^^] [ответить]	–7 +/–
упс.

4.13, pavlinux (ok), 22:45, 31/01/2013 [^] [^^] [^^^] [ответить]	–2 +/–
Анонимные боты лютуют, за "упс" дизлайкают :)

5.22, Аноним (-), 01:16, 01/02/2013 [^] [^^] [^^^] [ответить]	+/–
> Анонимные боты лютуют, за "упс" дизлайкают :) А я то думал что ты протрезвел и осознал что каркнул нечно странное...

2.9, Аноним (-), 21:06, 31/01/2013 [^] [^^] [^^^] [ответить]	+2 +/–
А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге? Положение, знаете ли, всё-таки обязывает самому использовать то, что разрабатываешь.

3.12, FSA (??), 22:30, 31/01/2013 [^] [^^] [^^^] [ответить]	–2 +/–
Только С! Только хардкор! Без шуток.

3.15, pavlinux (ok), 22:47, 31/01/2013 [^] [^^] [^^^] [ответить]	–2 +/–
> А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге? Это для гламурных бландинок! Только PLAIN ASCII TEXT!

3.17, Andrew Kolchoogin (?), 23:35, 31/01/2013 [^] [^^] [^^^] [ответить]	+3 +/–
Настоящие программисты вообще не пользуются трансляторами. Они пишут непосредственно на языке машинных инструкций, вычисляя адреса переходов и вызовов подпрограмм на абаке, высеченном собственноручно на граните от могильной плиты Ады Аугусты Лавлейс.

2.23, Аноним (-), 01:17, 01/02/2013 [^] [^^] [^^^] [ответить]	+/–
> Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке??? Все правильно сделали: в старину был нормальный подход к проверке качества: кузнец надевал сделанные им доспехи и по ним со всей дури шибали мечом. Схалтурил - ну извини, сам виноват. Ну вот увы, эти кузнецы - лоханулись.

3.20, h31 (ok), 00:42, 01/02/2013 [^] [^^] [^^^] [ответить]	–6 +/–
Хех, ну ты блин сравнил PHP - это просто средство для зарабатывания денег Напр... большой текст свёрнут, показать

4.25, Michael Shigorin (ok), 01:21, 01/02/2013 [^] [^^] [^^^] [ответить]

+4 +/–

> То есть получается, что задачи, решаемые с помощью руби на редкость примитивны

Знаете, а ведь кроме PHP с 1С есть ещё огород и лопата. При этом работа на свежем воздухе улучшает кровоснабжение мозга, в отличие от них. Ну и глупости такие в голову не лезут.

А в перерывах между рядами может хорошо пойти SICP и что-нибудь толковое по алгоритмам и (особенно) структурам данных.

Понимаю, что за бортом февраль, но до апреля точно не прокиснет.

5.28, junk (?), 02:01, 01/02/2013 [^] [^^] [^^^] [ответить]	+/–
а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому впринципе наплевать на чём разрабатывется его сайтик и ничегошеньки не мешает сделать на чём угодно.

6.44, Michael Shigorin (ok), 16:33, 02/02/2013 [^] [^^] [^^^] [ответить]

+/–

> а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому
> впринципе наплевать на чём разрабатывется его сайтик

Это неопытный или незаинтересованный. Первый набьёт свои шишки по части сопровождения и доработки со временем -- может, поумнеет. С последним время тратить избегаю и другим не посоветую.

> и ничегошеньки не мешает сделать на чём угодно.

А тут тоже выбор -- какой опыт думаешь приобрести, в какую точку с ним прийти... Если тяп-ляп, это одно; если вдумчиво и отвечая за результат -- совсем другое. Языки и фреймворки тут косвенно тоже при чём -- через культуру, которая уже сложилась в сообществах их разработчиков и пользователей -- хотя это не догма, конечно.

Не совсем в эту тему, но перекликается и вдруг кому-то поможет избежать такого "развития": http://egorfine.com/ru/articles/worse-than-failure/

4.37, angra (ok), 08:58, 01/02/2013 [^] [^^] [^^^] [ответить]	+/–
Ruby не кончается на рельсах и вебе, в отличии от пыха. Я бы даже сказал, что рельсы это весьма малая часть рубина, примерно как джанго для питона или каталист для перла, просто наиболее известная пыхарям вроде вас.

4.38, Сержант Скотч (?), 10:03, 01/02/2013 [^] [^^] [^^^] [ответить]

+2 +/–

>То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора.

если вы занимаетесь числодроблением на perl/python/ruby/php - вам явно надо к врачу.
да, у python есть numpy, но это свой отдельный мир с python-биндингами.

ну и измерять примитивно/не примитивно по уровню нагрузки на cpu - это вообще 5 баллов.

2.40, бедный буратино (ok), 15:33, 01/02/2013 [^] [^^] [^^^] [ответить]	+/–
www.php.ru/news.pl я уже даже не помню, шутка ли того времени это или реальность пятнадцатилетней давности.

1.30, бедный буратино (ok), 04:19, 01/02/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Рубицентрированность на рельсах вышла боком. Как, впрочем, большевики и предсказывали ещё в 2008.

2.31, бедный буратино (ok), 04:22, 01/02/2013 [^] [^^] [^^^] [ответить]	+/–
Жаль только, что trac не так нагляден, как redmine, и приходится redmine держать в 8 контейнерах...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: