nestormedia.com nestorexpo.com nestormarket.com nestorclub.com
на главнуюновостио проекте, реклама получить rss-ленту

Через уязвимость ROR взломан GitHub



Популярный проект GitHub был взломан. Егор Хомяков из Санкт-Петербурга смог воспользоваться уязвимостью для популярного web-фреймворка Ruby on Rails, использовав брешь в методе массового присваивания в RoR. В результате он получил привилегии создать пост, удалить любой пост, или внести изменения в исходный код любого проекта на GitHub. За два дня до этого Егор оставил уведомление о найденной им уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было ими закрыто, так как "эта ошибка находится в зоне ответственности конечных разработчиков приложений на RoR". Тогда Егор решил продемонстрировать эту уязвимость в действии на ближайшем для этого проекта приложении на Ruby on Rails - на GitHub.

Для этого он сначала создал список уведомлений в проекте Ruby on Rails, установив у них дату создания смещенную на 1001 лет в будущее, чтобы привлечь внимание RoR-разработчиков. После чего он добавил свой публичный ключ в список коммитеров проекта Ruby on Rails и выполнил коммит в мастер-репозиторий этого проекта. Только после этого GitHub предпринял хоть что-то – он заморозил аккаунт Хомякова. После исправления этой уязвимости на стороне GitHub – Хомяков опубликовал подробный howto того, как он манипулировал RoR-приложением на GitHub.

GitHub сообщил, что они провели полный аудит своего кода. В своем сообщении они признают, что Хомяков сообщил им об этой уязвимости двумя днями ранее, но потом он нашел способ, как применить эту уязвимость для добавления своего приватного ключа, после чего подключился к репозиторию проекта в штатном режиме. "После проведенного аудита действий Хомякова, никакой зловредной активности с его стороны не обнаружено" – уже сообщил GitHub. После проверки Хомякова, по сообщению GitHub его аккаунт был все-таки восстановлен (Хомяков уже подтвердил это).

Проблема, известная как уязвимость массового присвоения появилась в RoR с тех пор, как в Rails была добавлена возможность в рамках одного вызова устанавливать сразу несколько атрибутов. Эта проблема детально описана в официальном руководстве Rails Security Guide, в том числе, там описано и как с ней бороться, но, к сожалению, функциональность необходимая для этого, по-умолчанию отключена в стандартной инсталляции Ruby on Rails. И хотя в данном конкретном случае эта проблема у GitHub уже устранена, множество RoR-приложений по всему миру по-прежнему подвержены этой уязвимости.

Коварность ситуации в том, что эта уязвимость не только хорошо известна, но и в том, что бороться с ней часто нет никакой технической возможности при неправильной выполненной установке. Хорошая новость заключается в том, что после столь демонстративного взлома, наконец-то, разработчики RoR выполнили коммит с требованием установки белого списка атрибутов в стандартной установке Ruby on Rails по-умолчанию, дающий возможность бороться с этой уязвимостью, возможность чего появится уже в следующем обновлении RoR под версией 3.2. Всем же текущим пользователем Ruby on Rails разработчики рекомендуют незамедлительно провести аудит их кода, чтобы убедиться в том, что их система не была скомпрометирована сторонними лицами.


номер
2012/11



Еще новости на эту тему:
21.09.2016Tesla Model S взломана китайскими хакерами
30.08.2016Обнаружена хакерсая Android-сеть, управляемая через Twitter
05.04.2016Троян для Android, распространяемый через GPS
12.08.2015Sony SHAKE-X3D: стильная аудиосистема для вечеринок
13.05.2015Смарт-часы Apple Watch уже взломаны
30.10.2014Motorola станет дочерней компанией Lenovo
© 2016 PressEnter