×
bootstrap-sass.png
Bakdörr kod läggas till i ett populärt Ruby bibliotek som används för frontend-gränssnitt inne i Ruby och Ruby on Rails-applikationer. Skadlig kod har tagits bort via ett bibliotek uppdatering.
Biblioteket påverkas av denna händelse är Bootstrap-Sass, ett Ruby-paket som ger utvecklare med en Sass-version av Bootstrap, den mest populära ramverk för utvecklare idag.
Backdoor: s existens kom att lätta på Mars 27, förra veckan, när software developer Derek Barnes såg att någon hade tagit bort en version av biblioteket (Bootstrap-Sass v3.2.0.2) och omedelbart släppt en ny version, en stund senare, v3.2.0.3.
Vad var det som fick Barnes uppmärksamhet till denna version var det faktum att ändringen har endast gjorts på RubyGems, en populär samlingsplats för Ruby bibliotek, men inte på GitHub, där biblioteket källkod var förvaltas.
Bibliotek utsatt Ruby appar till fjärrkörning av kod
Under en granskning av v3.2.03 koden släpps på RubyGems, Barnes såg vad han beskrev som “intressant att titta koden”.
Denna kod, som när den är inbäddat i en Ruby och Ruby on Rails (populär Ruby ram), skulle lasta av en cookie-fil och verkställa dess innehåll, enligt en medlem av cyber-bevakningsföretag Dålig Paket, som bekräftas av den skadliga karaktär av biblioteket uppdatering för ZDNet.
×
bootstrap-sass-bakdörr.png
Bakdörren var bort från RubyGems på samma dag rapporterades det. Bootstrap-Sass laget också återkallas tillgång till RubyGems för utvecklare vars konto som de trodde var missbrukas och används för att driva den skadliga koden.
Bootstrap-Sass v3.2.0.4 släpptes i går, på både RubyGems och GitHub, för att ta bort någon bakdörr matrester. Uppdateringen bör också leda till en anmälan för utvecklare att uppdatera sin kod till den nya versionen, och även ta bort eventuella bakdörrar från befintliga projekt.
Några projekt har påverkat
Dock antalet påverkade projekt som tros vara låg, som den senaste versionen av biblioteket Bootstrap-Sass v3.4.1, och väldigt få utvecklare att använda äldre gren.
“En snabb analys visar ungefär 1,670 GitHub-arkiv som kan ha varit utsatt för skadlig bibliotek genom direkt användning,” sade cyber-bevakningsföretag Snyk, som också analyserat bakdörr. “Detta antal kommer att öka betydligt när man räknar dess användning i tillämpningar som ett transitivt beroende.”
Bootstrap-Sass bibliotek hade gått ner nästan 28 miljoner gånger från RubyGems portal, enligt officiella RubyGems statistik, men dessa är historisk statistik och inte återspeglar alla nedladdningar för backdoored version. Nedladdningar för backdoored v3.2.0.3 stå bara på 1,477, i skrivande stund.
Mer sårbarhet rapporter:
Forskare skriver “PWNED!” på hundratals GPS-klocka ” kartor på grund av ofixerade APICisco klantade RV320/RV325 fläckar, routrar utsätts fortfarande för att hacka
Sårbarheten finns i Xiaomi telefoner ” förinstallerad säkerhet appWordPress iOS app läckt autentisering tokensApache webbserver bugg bidrag root-åtkomst på delad hosting environmentsResearcher publicerar Google Chrome utnyttja på GitHubDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter