パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される」記事へのコメント

  • はやすぎ (スコア:-1, 荒らし)

    by Anonymous Coward on 2019年08月25日 12時35分 (#3674985)

    これまで1億1300万回もダウンロードされている有名なプロジェクトをターゲットにしたことで、このハッカーの活動は明るみになり、問題のライブラリは、rest-clientのライブラリに悪質なコードが発見されてから数時間以内に削除された。

    さすがオプソ。
    問題解決までに要する時間が桁違いに短い。

    次のアップデートまで1~2日は脆弱性を放置するMozillaやGoogle。
    最低でも1ヶ月は余裕で放置のMicrosoft。
    ましてや年単位で時間が過ぎても未だに抜本的な解決策が見つからず、しかし脆弱性はむしろ増えてゆく一方のIntel。
    ああいった足の遅い企業にも今回の対応を見習って欲しい今日この頃。

    • by Anonymous Coward on 2019年08月26日 3時19分 (#3675190)

      https://japan.zdnet.com/article/35141553/ [zdnet.com]
      > この攻撃を実行した人物は、1カ月以上前から活動していたが、その活動は発見されずにいた。

      親コメント
    • by Anonymous Coward

      この人何を言っているのだろうか・・・

    • by Anonymous Coward

      個別パッケージ vs 大型プロダクト内の1機能だとだいぶ違うし
      削除 vs 機能を維持しての修正も大分ちがうのに

      # MSでも緊急リリースのときは1weekくらいででた実績はあること
      # こういうのは実際的な危険性の評価によると思うのだが、なに言ってるんだろう...

    • by Anonymous Coward

      https://rubygems.org/gems/rest-client/versions [rubygems.org]

      1.6.14 - August 21, 2019 (114KB)
      1.6.13 - August 14, 2019 (114KB) yanked
      1.6.12 - August 14, 2019 (113KB) yanked
      1.6.11 - August 14, 2019 (113KB) yanked
      1.6.10 - August 13, 2019 (11.5KB) yanked
      1.6.9 - June 10, 2015 (113KB)

      8/13、8/14に悪意あるコードを含むリリースが行われてから、8/21に修正されるまで1週間もかかっている。旧バー

    • by Anonymous Coward

      脆弱性とマルウェアを一緒に論じてどうする
      修正とテストが必要な脆弱性と、見つかればもとに戻すだけのマルウェアでは必要な時間が圧倒的に違うだろうに。

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...