×
bootstrap-sass.png
Bagdør kode blev fundet i en populær Ruby-biblioteket bruges til frontend-bruger-grænseflader inde i Ruby og Ruby on Rails applikationer. Skadelig kode er blevet fjernet via et bibliotek opdateringen.
Biblioteket er berørt af denne hændelse er Bootstrap-Sass, en Ruby-pakke, der giver udviklere med Sass-version af Bootstrap, de mest populære UI framework for udviklere i dag.
Bagdøren eksistens kom for dagens lys i Marts 27, i sidste uge, da software udvikler Derek Barnes opdagede, at nogen havde fjernet en version af biblioteket (Bootstrap-Sass v3.2.0.2) og straks frigives en ny version, få øjeblikke senere, v3.2.0.3.
Hvad trak Barnes opmærksom på at denne version var det faktum, at ændringen havde kun været foretaget på RubyGems, en populær repository for Ruby biblioteker, men ikke på GitHub, hvor bibliotekets kildekoden blev administreret.
Bibliotek udsat Ruby apps til fjernkørsel af programkode
Under en gennemgang af v3.2.03 kode udgivet på RubyGems, Barnes spottet, hvad han beskrev “interessant at se koden.”
Denne kode, når indlejret inde i en Ruby og Ruby on Rails (populær Ruby rammer), der ønsker at indlæse en cookie-fil og udføre dens indhold, ifølge et medlem af cyber-sikkerhed firma Dårlig Pakker, der bekræftes af den skadelige karakter af biblioteket opdatering til ZDNet.
×
bootstrap-sass-bagdør.png
Bagdør blev fjernet fra RubyGems på samme dag, det blev rapporteret. Bootstrap-Sass holdet også tilbagekaldes adgang til RubyGems for bygherren, hvis konto, de troede var kompromitteret, og bruges til at skubbe den ondsindede kode.
Bootstrap-Sass v3.2.0.4, blev også udgivet i går, på begge RubyGems og GitHub, for at fjerne enhver bagdør rester. Opdateringen bør også udløse en anmeldelse for udviklere at opdatere deres kode til denne nye version, og også fjerne eventuelle bagdøre fra eksisterende projekter.
Få projekter påvirket
Men antallet af påvirkede projekter menes at være lav, da den nyeste version af biblioteket var Bootstrap-Sass v3.4.1, og meget få udviklerne bruger den ældre gren.
“En hurtig analyse viser nogenlunde 1,670 GitHub arkiver, der kan have været udsat for den skadelige bibliotek gennem direkte anvendelse,” sagde cyber-sikkerhed firma Snyk, som også analyseret bagdør. “Det tal vil stige betydeligt, når at tælle dens anvendelse i applikationer, som en transitive afhængighed.”
Bootstrap-Sass bibliotek var blevet hentet næsten 28 millioner gange fra RubyGems portal, ifølge officielle RubyGems statistik, men disse er historisk statistik og ikke alle afspejler downloads for backdoored version. Downloads til backdoored v3.2.0.3 står kun på 1,477, i skrivende stund.
Mere sårbarhed rapporter:
Forsker udskriver ‘PWNED!’ på hundredvis af GPS-ures kort på grund af ukorrigerede APICisco forkludret RV320/RV325 patches, routere stadig er udsat for hacks
Sårbarhed fundet i Xiaomi telefoner ” pre-installeret sikkerhedsopdatering appWordPress iOS app lækket godkendelse tokensApache web-serveren fejl tilskud root-adgang på delt hosting environmentsResearcher offentliggør Google Chrome udnytte på GitHubDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre