×
bootstrap-sass.png
Backdoor codice è stato trovato aggiunte, in una famosa libreria Ruby utilizzato per il frontend interfacce utente all’interno di Ruby e Ruby on Rails applicazioni. Il codice maligno è stato rimosso tramite un aggiornamento della libreria.
La biblioteca colpiti da questo incidente è Bootstrap-Sass, un Rubino pacchetto che fornisce agli sviluppatori un Sass-versione di Bootstrap, il più popolare framework di interfaccia utente per gli sviluppatori di oggi.
Il backdoor esistenza è venuto alla luce il 27 Marzo, la settimana scorsa, quando sviluppatore di software Derek Barnes notato che qualcuno aveva rimosso una versione della libreria (Bootstrap-Sass v3.2.0.2) e subito rilasciato una nuova versione, pochi istanti dopo, v3.2.0.3.
Cosa la ha Barnes attenzione a questa versione, è stato il fatto che la modifica era stata fatta su RubyGems, un popolare repository per le librerie Ruby, ma non su GitHub, dove la biblioteca è il codice sorgente è stato gestito.
Biblioteca esposto Ruby applicazioni per l’esecuzione di codice remoto
Durante un esame del v3.2.03 codice rilasciato su RubyGems, Barnes individuato quello che ha descritto “interessante visto il codice.”
Questo codice, quando è incorporato all’interno di un Rubino o Ruby on Rails (popolare framework Ruby), il caricamento di un file cookie e di eseguire i suoi contenuti, secondo un membro della cyber-sicurezza ditta di Bad Packets, che ha confermato l’dannoso, la natura della biblioteca di aggiornamento per ZDNet.
×
bootstrap-sass-backdoor.png
La backdoor è stato rimosso dal RubyGems, il giorno stesso è stato segnalato. Il Bootstrap-Sass team ha anche revocato l’accesso al RubyGems per lo sviluppatore, il cui account credevano era compromesso e utilizzato per spingere il codice dannoso.
Bootstrap-Sass v3.2.0.4 è stato rilasciato anche ieri, su entrambi RubyGems e GitHub, per rimuovere eventuali backdoor avanzi. L’aggiornamento dovrebbe anche attivare una notifica per gli sviluppatori di aggiornare il proprio codice di questa nuova versione, e anche rimuovere eventuali backdoor dei progetti esistenti.
Alcuni progetti di impatto
Tuttavia, il numero di impatto dei progetti si crede di essere bassa, come l’ultima versione della libreria era Bootstrap-Sass v3.4.1, e molto pochi gli sviluppatori sono stati utilizzando il ramo più anziani.
“Una rapida analisi mostra circa 1,670 repository GitHub che possono essere stati esposti ad dannoso biblioteca attraverso l’utilizzo diretto”, ha detto il cyber-sicurezza ditta Snyk, che ha anche analizzato la backdoor. “Questo numero aumenterà in modo significativo quando si conta il suo utilizzo in applicazioni come un dipendenza transitiva.”
Il Bootstrap-Sass biblioteca era stato scaricato quasi 28 milioni di volte dal RubyGems portale, secondo ufficiale di RubyGems statistiche; tuttavia, queste sono le statistiche storiche e non riflettono tutti i download per il backdoored versione. Download per il backdoored v3.2.0.3 stand solo del 1.477, al momento della scrittura.
Più vulnerabilità di report:
Ricercatore stampe ‘PWNED!’ su centinaia di orologi GPS mappe a causa di non fissati APICisco pasticciato RV320/RV325 patch, router ancora esposti di hack
Vulnerabilità trovato in Xiaomi telefoni pre-installato sicurezza appWordPress app iOS trapelato autenticazione tokensApache web bug del server concede l’accesso root su hosting condiviso environmentsResearcher pubblica di Google Chrome exploit su GitHubDJI correzioni di vulnerabilità che consentono di potenziali hacker spiare droni CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati