アカウント名:
パスワード:
これまで1億1300万回もダウンロードされている有名なプロジェクトをターゲットにしたことで、このハッカーの活動は明るみになり、問題のライブラリは、rest-clientのライブラリに悪質なコードが発見されてから数時間以内に削除された。
さすがオプソ。問題解決までに要する時間が桁違いに短い。
次のアップデートまで1~2日は脆弱性を放置するMozillaやGoogle。最低でも1ヶ月は余裕で放置のMicrosoft。ましてや年単位で時間が過ぎても未だに抜本的な解決策が見つからず、しかし脆弱性はむしろ増えてゆく一方のIntel。ああいった足の遅い企業にも今回の対応を見習って欲しい今日この頃。
https://japan.zdnet.com/article/35141553/ [zdnet.com]> この攻撃を実行した人物は、1カ月以上前から活動していたが、その活動は発見されずにいた。
この人何を言っているのだろうか・・・
個別パッケージ vs 大型プロダクト内の1機能だとだいぶ違うし削除 vs 機能を維持しての修正も大分ちがうのに
# MSでも緊急リリースのときは1weekくらいででた実績はあること# こういうのは実際的な危険性の評価によると思うのだが、なに言ってるんだろう...
https://rubygems.org/gems/rest-client/versions [rubygems.org]
1.6.14 - August 21, 2019 (114KB)1.6.13 - August 14, 2019 (114KB) yanked1.6.12 - August 14, 2019 (113KB) yanked1.6.11 - August 14, 2019 (113KB) yanked1.6.10 - August 13, 2019 (11.5KB) yanked1.6.9 - June 10, 2015 (113KB)
8/13、8/14に悪意あるコードを含むリリースが行われてから、8/21に修正されるまで1週間もかかっている。旧バー
脆弱性とマルウェアを一緒に論じてどうする修正とテストが必要な脆弱性と、見つかればもとに戻すだけのマルウェアでは必要な時間が圧倒的に違うだろうに。
あからさまなマッチポンプだな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
はやすぎ (スコア:-1, 荒らし)
これまで1億1300万回もダウンロードされている有名なプロジェクトをターゲットにしたことで、このハッカーの活動は明るみになり、問題のライブラリは、rest-clientのライブラリに悪質なコードが発見されてから数時間以内に削除された。
さすがオプソ。
問題解決までに要する時間が桁違いに短い。
次のアップデートまで1~2日は脆弱性を放置するMozillaやGoogle。
最低でも1ヶ月は余裕で放置のMicrosoft。
ましてや年単位で時間が過ぎても未だに抜本的な解決策が見つからず、しかし脆弱性はむしろ増えてゆく一方のIntel。
ああいった足の遅い企業にも今回の対応を見習って欲しい今日この頃。
Re:はやすぎ (スコア:1)
https://japan.zdnet.com/article/35141553/ [zdnet.com]
> この攻撃を実行した人物は、1カ月以上前から活動していたが、その活動は発見されずにいた。
Re: (スコア:0)
この人何を言っているのだろうか・・・
Re: (スコア:0)
個別パッケージ vs 大型プロダクト内の1機能だとだいぶ違うし
削除 vs 機能を維持しての修正も大分ちがうのに
# MSでも緊急リリースのときは1weekくらいででた実績はあること
# こういうのは実際的な危険性の評価によると思うのだが、なに言ってるんだろう...
Re: (スコア:0)
https://rubygems.org/gems/rest-client/versions [rubygems.org]
1.6.14 - August 21, 2019 (114KB)
1.6.13 - August 14, 2019 (114KB) yanked
1.6.12 - August 14, 2019 (113KB) yanked
1.6.11 - August 14, 2019 (113KB) yanked
1.6.10 - August 13, 2019 (11.5KB) yanked
1.6.9 - June 10, 2015 (113KB)
8/13、8/14に悪意あるコードを含むリリースが行われてから、8/21に修正されるまで1週間もかかっている。旧バー
Re: (スコア:0)
脆弱性とマルウェアを一緒に論じてどうする
修正とテストが必要な脆弱性と、見つかればもとに戻すだけのマルウェアでは必要な時間が圧倒的に違うだろうに。
Re: (スコア:0)
あからさまなマッチポンプだな