nestormedia.com nestorexpo.com nestormarket.com nestorclub.com
на главнуюновостио проекте, реклама получить rss-ленту
компании и бренды
A4tech, Acer, ADATA, Adobe, advantix, Aegis, AeroCool, Akitio, Alcatel, Alibaba, Alphabet, Amazon, AMD, Android, AOC, Apple, Apricorn, Archos, ARCTIC, ARM, ASRock, Asus, Asustek, Baidu, Belkin, BenQ, Bing, BIOSTAR, BlackBerry, Blizzard, Brother, Canon, Casio, Cisco, Citrix, CleverKey, CloudCoin, Cooler Maste, Cooler Master, Corel, Cowon, Creative, D-Link, Deepcool, Defender, Dell, Delux, Digma, DNS, eBay, Edifier, Ematic, Epson, Eurocom, Explay, Facebook, FixMeStick, FlatFrog, Fly, Foxconn, Freecom, Fujifilm, Fujitsu, GARMIN, Gartner, Gavio, GeForce, Gembird, Genius, Getac, Giada, GigaByte, Gionee, Gmini, Google, Green House, Gresso, Highscreen, Hotmail, HP, HTC, Huawei, IBM, Ideum, iiyama, Intel, InWin, Iomega, iOS, iPad, iPhone, iRiver, iRU, Jabra, Java, JBL, JVC, Kickstarter, Kingston, KOSS, Kyocera, LaCie, Lava International, Leica, Lenovo, Lexand, Lexmark, LG, LinkedIn, Linux, Logitech, Lunascape, Mail.ru Group, Maingear, Meizu, Messe Frankfurt Exhibition GmbH, Microlab, Micron, Microsoft, Mitsubsihi Electric, MJX, Motion Computing, Motorola, Mouse Computer, Movavi, MOXA, Mozilla, MSI, Musikmesse, NEC, nethouse, Nikon, Nintendo, Nokia, Nokia Siemens, Nook, NVIDIA, OCZ Technology Group, Olympus, ONYX, Opera Software, Oppo, Oracle, ORIGIN PC, Oukitel, Packard Bell, Palit, Panasonic, Patriot Memory, Pentax, Philips, Pioneer, Plantronics, Plextor, PocketBook, Pokemon Go, Polaroid, Powercom, Prestigio, Prolight + Sound, Promwad, Qualcomm, Qumo, Razer, Ricoh, RIM, Ritmix, Robotica, RoverComputers, S-iTECH, Samsung, SanDisk, SAP, Scythe, Seagate, Sharp, Shuttle, Silicon Power, Skullcandy, Skype, Skytex, SMART, Sony, Sony Ericsson, Starway, SteelSeries, Super Talent, SVEN, Syma, Symantec, TemplateMonster, teXet, Thecus, Thrustmaster, Toshiba, TP-Link, Transcend, Twitter, Uber, uCoz, Upvel, VAIO, velcom, Verbatim, Vertu, VIA Technologies, ViewSonic, Vivo, Wacom, WayteQ, Western Digital, Wexler, Wikipad, Winamp, Windows, Wortmann AG, Xerox, Xiaomi, XILENCE, Yahoo!, Yota Devices, YouTube, Zotac, ZTE, Аpacer, АК-Системс, Вitcoin, Вконтакте, МТС, Одноклассники, Playtika, Яндекс, Apacer, Aresze, Epic Gear, Huntkey, Inno3D, Kingmax, Lars&Vaensoon, NETGEAR, Tesoro

авторы
Faina, Samael, vjuen, Александр Гуриненко, александр островцов, Антон Платов, Василий Запотылок, Денис Лавникевич, Дмитрий Саевич, Иван Ковалев, Игорь Грень, Игорь Савчук, Маргарита Парфинчук, Михаил Мощенский, Ольга Кирюшкина, Роман Арбузов, Сергей Зозуля, Сергей Золотов, Сергей Смирнов, Татьяна Кравченко

номер
2012/05, 2012/06, 2012/07, 2012/08, 2012/09, 2012/10, 2012/11, 2012/12, 2012/13, 2012/14, 2012/15, 2012/16, 2012/17, 2012/18, 2012/19, 2012/20, 2012/21, 2012/22, 2012/23, 2012/24, 2012/25, 2012/26, 2012/27, 2012/28, 2012/29, 2012/30, 2012/31, 2012/32, 2012/33, 2012/34, 2012/35, 2012/36, 2012/37, 2012/38, 2012/39, 2012/40, 2012/41, 2012/42, 2012/43, 2012/44, 2012/45, 2012/46, 2012/47, 2012/48, 2013/01, 2013/02, 2013/03, 2013/04, 2013/05, 2013/06, 2013/07, 2013/08, 2013/09, 2013/10, 2013/11, 2013/12, 2013/13, 2013/14, 2013/15, 2013/16, 2013/17, 2013/18, 2013/19, 2013/20, 2013/21, 2013/23, 2013/24, 2013/25, 2013/26, 2013/27, 2013/28, 2013/29, 2013/30, 2013/31, 2013/32, 2013/33, 2013/34, 2013/35, 2013/36, 2013/37, 2013/38, 2013/39, 2013/40, 2013/41, 2013/42, 2013/43, 2013/44, 2013/45, 2013/46, 2013/47, 2013/48, 2014/01, 2014/02, 2014/03, 2014/04, 2014/05, 2014/06, 2014/07, 2014/08, 2014/09, 2014/10, 2014/11, 2014/12, 2014/13, 2014/14, 2014/15, 2014/17, 2014/18, 2014/19, 2014/20, 2014/21, 2014/22, 2014/23, 2014/24, 2014/25, 2014/26, 2014/27, 2014/28, 2014/29, 2014/30, 2014/31, 2014/32, 2014/33, 2014/34, 2014/35, 2014/36, 2014/37, 2014/38, 2014/39, 2014/40, 2014/41, 2014/42, 2014/43, 2014/44, 2014/45, 2014/46, 2014/47, 2014/48, 2015/01, 2015/02, 2015/03, 2015/04, 2015/05, 2015/06, 2015/07, 2015/08, 2015/09, 2015/10, 2015/11, 2015/12, 2015/13, 2015/14, 2015/15, 2015/16, 2015/17, 2015/18, 2015/19, 2015/20, 2015/21, 2015/22, 2015/23, 2015/24, 2015/25, 2015/26, 2015/27, 2015/28, 2015/29, 2015/30, 2015/31, 2015/32, 2015/33, 2015/34, 2015/35, 2015/36, 2015/37, 2015/38, 2015/39, 2015/40, 2015/41, 2015/42, 2015/43, 2015/44, 2015/45, 2015/46, 2015/47, 2015/48, 2016/01, 2016/02, 2016/03, 2016/04, 2016/05, 2016/06, 2016/07, 2016/08, 2016/09, 2016/10, 2016/11, 2016/12, 2016/13, 2016/14, 2016/15, 2016/18, 2016/21, 2016/22, 2016/23, 2016/24, 2016/25, 2016/26, 2016/28, 2016/29, 2016/30, 2016/31, 2016/32, 2016/33, 2016/34, 2016/35, 2016/36, 2016/37, 2016/38, 2016/39, 2016/40, 2016/41, 2016/42, 2016/43, 2016/44, 2016/45, 2016/46, 2016/47, 2016/48

статьи на тему
выставки, конференции, реклама
печать
сохранить как pdf
Главная » новости » Через уязвимость ROR взломан GitHub

Через уязвимость ROR взломан GitHub

13.03.2012

Популярный проект GitHub был взломан. Егор Хомяков из Санкт-Петербурга смог воспользоваться уязвимостью для популярного web-фреймворка Ruby on Rails, использовав брешь в методе массового присваивания в RoR. В результате он получил привилегии создать пост, удалить любой пост, или внести изменения в исходный код любого проекта на GitHub. За два дня до этого Егор оставил уведомление о найденной им уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было ими закрыто, так как "эта ошибка находится в зоне ответственности конечных разработчиков приложений на RoR". Тогда Егор решил продемонстрировать эту уязвимость в действии на ближайшем для этого проекта приложении на Ruby on Rails - на GitHub.

Для этого он сначала создал список уведомлений в проекте Ruby on Rails, установив у них дату создания смещенную на 1001 лет в будущее, чтобы привлечь внимание RoR-разработчиков. После чего он добавил свой публичный ключ в список коммитеров проекта Ruby on Rails и выполнил коммит в мастер-репозиторий этого проекта. Только после этого GitHub предпринял хоть что-то – он заморозил аккаунт Хомякова. После исправления этой уязвимости на стороне GitHub – Хомяков опубликовал подробный howto того, как он манипулировал RoR-приложением на GitHub.

GitHub сообщил, что они провели полный аудит своего кода. В своем сообщении они признают, что Хомяков сообщил им об этой уязвимости двумя днями ранее, но потом он нашел способ, как применить эту уязвимость для добавления своего приватного ключа, после чего подключился к репозиторию проекта в штатном режиме. "После проведенного аудита действий Хомякова, никакой зловредной активности с его стороны не обнаружено" – уже сообщил GitHub. После проверки Хомякова, по сообщению GitHub его аккаунт был все-таки восстановлен (Хомяков уже подтвердил это).

Проблема, известная как уязвимость массового присвоения появилась в RoR с тех пор, как в Rails была добавлена возможность в рамках одного вызова устанавливать сразу несколько атрибутов. Эта проблема детально описана в официальном руководстве Rails Security Guide, в том числе, там описано и как с ней бороться, но, к сожалению, функциональность необходимая для этого, по-умолчанию отключена в стандартной инсталляции Ruby on Rails. И хотя в данном конкретном случае эта проблема у GitHub уже устранена, множество RoR-приложений по всему миру по-прежнему подвержены этой уязвимости.
Коварность ситуации в том, что эта уязвимость не только хорошо известна, но и в том, что бороться с ней часто нет никакой технической возможности при неправильной выполненной установке. Хорошая новость заключается в том, что после столь демонстративного взлома, наконец-то, разработчики RoR выполнили коммит с требованием установки белого списка атрибутов в стандартной установке Ruby on Rails по-умолчанию, дающий возможность бороться с этой уязвимостью, возможность чего появится уже в следующем обновлении RoR под версией 3.2. Всем же текущим пользователем Ruby on Rails разработчики рекомендуют незамедлительно провести аудит их кода, чтобы убедиться в том, что их система не была скомпрометирована сторонними лицами.



Еще новости на эту тему:
03.01.2017Microsoft готовит очередной Surface Pro
21.09.2016Tesla Model S взломана китайскими хакерами
30.08.2016Обнаружена хакерсая Android-сеть, управляемая через Twitter
05.04.2016Троян для Android, распространяемый через GPS
12.08.2015Sony SHAKE-X3D: стильная аудиосистема для вечеринок
13.05.2015Смарт-часы Apple Watch уже взломаны
© 2024 PressEnter
                                            
Сайт работает на платформе Nestorclub.com