Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
Сообщение от opennews (ok), 05-Апр-19, 10:27
В популярной Ruby-библитеке bootstrap-sass (вариант   Bootstrap 3 с поддержкой Sass), насчитывающей (https://rubygems.org/gems/bootstrap-sass) около 28 млн загрузок, выявлен (https://snyk.io/blog/malicious-remote-code-execution-backdoo.../) бэкдор (CVE-2019-10842 (https://security-tracker.debian.org/tracker/CVE-2019-10842)), позволяющий злоумышленникам выполнить свой код на серверах, на которых выполняются проекты, использующие bootstrap-sass. Бэкдор был добавлен в состав выпуска 3.2.0.3 (https://rubygems.org/gems/bootstrap-sass/versions/3.2.0.3), опубликованного 26 марта в репозитории RubyGems. Проблема устранена в выпуске 3.2.0.4 (https://rubygems.org/gems/bootstrap-sass/versions/3.2.0.4), предложенном 3 апреля. Бэкдор был скрыто добавлен в файл lib/active-controller/middleware.rb, в котором появился (https://github.com/twbs/bootstrap-sass/issues/1195) код для вызова eval со значением, передаваемым через Cookie "___cfduid=". Для атаки достаточно было отправить запрос на сервер, выставив Cookie "___cfduid" и передав в качестве аргумента команды, закодированные в формате Base64. Имя Cookie  "___cfduid" было выбрано для камуфлирования под Cookie "__cfduid", выставляемый  CDN Cloudflare и отличающийся наличием двух символов подчёркивания вместо трёх. Примечательно, что вредоносный код был опубликован только в финальном пакете, опубликованном в репозитории RubyGems, но не был внесён в исходные тексты в Git-репозитории.  Исходный код (https://github.com/twbs/bootstrap-sass/) библиотеки оставался корректным и не вызывал подозрения у разработчиков, что подчёркивает важность применения повторяемых сборок и внедрения процесса проверки соответствия публикуемых пакетов с эталонными исходными текстами. Судя по всему, атака была проведена через захват параметров учётной записи к RubyGems у одного из двух мэйнтейнеров библиотеки (официально утечка учётных данных пока не подтверждена). Атаковавшие  проявили осмотрительность и встроили бэкдор не в самую свежую ветку 3.4.x, последний выпуск которой насчитывает более 217 тысяч загрузок, а как  обновление для прошлой ветки 3.2.x, рассчитывая на то, что корректирующее обновление зависимости не вызовет подозрений. По приблизительной оценке  1670 репозиториев на GitHub используют bootstrap-sass в качестве зависимости  и связанные с этими репозиториями приложения потенциально могут быть скомпрометированы. Разработчикам рекомендуется проследить использование библиотеки bootstrap-sass среди косвенных зависимостей и проверить не было ли выполнено автоматическое обновление до версии с бэкдором. Информация о возможном бэкдоре была опубликована (https://github.com/twbs/bootstrap-sass/issues/1195) в системе отслеживания ошибок спустя несколько часов после размещения проблемного выпуска 3.2.0.3, после чего примерно через час мэйнтейнеры удалили проблемный выпуск из RubyGems и поменяли пароли для входа, но не учли, что удалённые версии ещё несколько дней могут оставаться доступными на зеркалах. 3 апреля был дополнительно сформирован выпуск 3.2.0.4, полностью аналогичный версии 3.2.0.2, который позволял избавиться от версии с бэкдором без перехода на новую ветку 3.4. URL: https://snyk.io/blog/malicious-remote-code-execution-backdoo.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=50462
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+9 +/–
Сообщение от n1rdeks (ok), 05-Апр-19, 10:27
Ну вот опЯть
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+2 +/–
Сообщение от borbacuca (ok), 05-Апр-19, 10:46
нда небыло никогда....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+17 +/–
Сообщение от Нанобот (ok), 05-Апр-19, 10:48
если между публикацией протрояненого обновления и его удалением прошло всего 2-3 часа, то это очень даже хороший показыватель...а ведь могли бы заметить через 2-3 недели
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+2 +/–
	Сообщение от commiethebeastie (ok), 05-Апр-19, 16:11
	Ну это же не npm :D
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+3 +/–
Сообщение от Аноним (4), 05-Апр-19, 10:58
>Атаковавшие проявили осмотрительность и встроили бэкдор не в самую свежую ветку 3.4.x, последний выпуск которой насчитывает более 217 тысяч загрузок, а как обновление для прошлой ветки 3.2.x   возможно дело не в осмотрительности, а в том что они хотели взломать какой-то конкретный проект, использующий эту версию
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–9 +/–
Сообщение от Аноним (6), 05-Апр-19, 11:04
Имя напоминает червя SASSer, я бы не стал такой либой пользоваться
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	34. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+1 +/–
	Сообщение от axredneck (?), 06-Апр-19, 00:29
	Слова "git", "gimp", "cron", "grub" итд. тоже похожи на названия каких-то стремных малварей.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	38. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от Владимир (??), 08-Апр-19, 10:34
	Или стихи Маяковского: Били копыта, Пели будто: - Git. Grub. Cron. Gimp.-
	Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

7. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
Сообщение от Аноним (7), 05-Апр-19, 11:09
> Примечательно, что вредоносный код был опубликован только в финальном пакете, опубликованном в репозитории RubyGems, но не был внесён в исходные тексты в Git-репозитории. Не понял ? Они что хотят что в RubyGems нет с гита заливается ? Офигеть ... И как они тогда проверяют на соответсвие сорцам ссылку на которые они дают на своем сайте ? Мда ....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–1 +/–
	Сообщение от GentooBoy (ok), 05-Апр-19, 11:17
	Точно также как и везде, с чего оно должно с гита заливаться? Нужно сформировать пакет потом залить в репу. Так у всех. Ну то есть вообще у всех.  Другое дело что ты можешь поставить  build server и делать это автоматически.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	18. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от хм (?), 05-Апр-19, 15:17
	Packagist например просто трекает git-репозиторий и версия пакета там - это тег или ветка в гите. Так что подобное там вроде невозможно.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	32. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–1 +/–
	Сообщение от anonymous (??), 05-Апр-19, 21:40
	Хз где это так - также где и везде. Вот к примеру koji ты берешь spec и патчи кладешь на githab потом команда koji собирай. Он стягивает спек и патчи с гита и потом сырцы по указанию со спека и собирает пакет и кладет его в bodhi для теста. (fedora сборка рпм) Хз как в дебиане - но поди также. Я вообще удивлен что у них туда гемы грузят отдельно от сырцов.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

8. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+2 +/–
Сообщение от Аноним (8), 05-Апр-19, 11:13
Полон опасностей "программирую на css/sass/html/js/ts"-мирок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–2 +/–
	Сообщение от хотел спросить (?), 05-Апр-19, 12:47
	да везде хватает подводных камней в системном программировании их даже больше разница только в том что в "мирке" мало не веб-макак
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	24. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+2 +/–
	Сообщение от Аноним (24), 05-Апр-19, 17:55
	Расскажи нам.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	33. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от Аноним (33), 05-Апр-19, 23:09
	Так в соседних новостях же... https://www.opennet.ru/opennews/art.shtml?num=50466 https://www.opennet.ru/opennews/art.shtml?num=50463
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

12. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–2 +/–
Сообщение от Аноним (12), 05-Апр-19, 11:25
А я всегда говорю, что бутстрап то ещё ненужно, и вот подтверждение!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	36. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от mishaor (ok), 07-Апр-19, 16:54
	ту же самую Bulma можно поставить, и сайт покрасивее будет, и лишнего JS не требует.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
Сообщение от Анонимс (?), 05-Апр-19, 11:50
> пакет с бэкдором был загружен около 1500 раз Ферма из 1500 узлов, интересно, это сколько же можно было намайнить битков и эфира?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	14. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от имя (?), 05-Апр-19, 12:44
	сейчас уже что-то другое майнят, биткоин вроде и вовсе не выгоден для майнинга, даже при "халявных" ресурсах
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	27. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от Марк Шаттлворт (?), 05-Апр-19, 19:06
	Нисколько
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–2 +/–
Сообщение от Аноним (17), 05-Апр-19, 14:20
Я читал комменты и думал это только возможно в npm, а вот оно как оказывается.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	21. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–2 +/–
	Сообщение от Попугай Кеша (?), 05-Апр-19, 17:09
	Тут модно хейтить npm
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	25. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от tsifra (?), 05-Апр-19, 18:09
	и php :)
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	28. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+2 +/–
	Сообщение от Марк Шаттлворт (?), 05-Апр-19, 19:08
	Если по комментам ориентироваться, то можно на другие сайты не ходить - тут есть эксперты во всем и всегда тебе помогут с тем где ты неправ
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–2 +/–
Сообщение от Аноним (20), 05-Апр-19, 16:43
bootstraps-ass бггггггг
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
Сообщение от Аноним (22), 05-Апр-19, 17:14
> Примечательно, что вредоносный код был опубликован только в финальном пакете, опубликованном в репозитории RubyGems, но не был внесён в исходные тексты в Git-репозитории. Получается пакеты в репозитории RubyGems собираются не из репозиториев с исходным кодом, а загружаются уже собранные? Очень странное решение авторов RubyGems.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	37. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+/–
	Сообщение от mishaor (ok), 07-Апр-19, 16:58
	Так все (PyPI, NPM) делают.
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	–4 +/–
Сообщение от user90 (?), 05-Апр-19, 19:03
Так руби-кодеры, они это ккк.. веб-макаки жи?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+1 +/–
Сообщение от J.L. (?), 05-Апр-19, 19:37
> Информация о возможном бэкдоре была опубликована в системе отслеживания ошибок спустя несколько часов после размещения проблемного выпуска 3.2.0.3, после чего примерно через час мэйнтейнеры удалили проблемный выпуск из RubyGems и поменяли пароли для входа, но не учли, что удалённые версии ещё несколько дней могут оставаться доступными на зеркалах. 3 апреля был дополнительно сформирован выпуск 3.2.0.4, полностью аналогичный версии 3.2.0.2, который позволял избавиться от версии с бэкдором без перехода на новую ветку 3.4. круты, всем хотя бы так оперативно действовать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	31. "В Ruby-библитеке bootstrap-sass выявлен бэкдор"	+2 +/–
	Сообщение от Онаним (?), 05-Апр-19, 20:26
	Удивительно. Я уж думал тех, кто делает код ревью зависимостей, вообще не осталось.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "В Ruby-библиотеке bootstrap-sass выявлен бэкдор"	+/–
Сообщение от Онаним (?), 05-Апр-19, 20:24
This bug bootstraps ass...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема