バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 20
ストーリー by headless
発見 部門より
発見 部門より
RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事、
GitHub — Issue 1195、
Computingの記事、
CVE-2019-10842)。
発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。
この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。
発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。
この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。
アカウントを記録してないって (スコア:1)
ほんとです??なんで??
最近の言語とかで特にそうだけど (スコア:1)
フレームワーク毎に自分勝手なオレオレパッケージマネージャ作ってリポジトリには悪意を持った人間でも誰でもアップできてみんな「誰かが検証してるやろw」的な感じでそのまんま使うのが当たり前になっちゃってるよね
Re: (スコア:0)
エンドユーザ向けのアプリストアにはレビューなり何なりのプロセスがあるけど,
プログラミング言語関連の独自パッケージングシステムは素通しすぎる気がする.
自分がインストールしようとしている数パッケージぐらいは,頑張って怪しげなコードが含まれていないか
確認できるけど,依存で山ほど引きずってくるとツラすぎる
Re: (スコア:0)
アップデートするたびに全部調べたら死んでしまうよ。
Re: (スコア:0)
昔DLL地獄を経験した者なので、この傾向には抵抗ありますね
まぁ開発者が運用も兼ねるもうになって文化も変わってきた感じもあるかも
Re: (スコア:0)
DLL地獄となんの関係が?
Re: (スコア:0)
NPM 5.7が重要なディレクトリの所有者を書き換える凄まじいバカをやらかす [blogspot.com]
npmからkikとその他諸々が消されたまとめ [blogspot.com]
NPMのESLintのパッケージにマルウェアが混入された問題 [blogspot.com]
npm、一見無 [blogspot.com]
Re: (スコア:0)
全部アノ人のブログじゃんかよ...
Re: (スコア:0)
>「誰かが検証してるやろw」
いやー耳が痛い。その通りです。
パスワードを変更しても (スコア:0)
また不正アクセスされんじゃないの?
Re: (スコア:0)
アカウントを乗っ取ったのに攻撃者がそのアカウントのパスワードを変更していないのも変な話。
Re: (スコア:0)
記録も取ってないのによくパスワードが漏れたって断定できるよね。
裏からプッシュできるだけかもしれないのに。
Re: (スコア:0)
誰も断定なんてしていない件。
どのように不正利用されたかはっきりしないけど不正利用された可能性が濃厚なアカウントであれば念のためにパスワード変えるというか、その状態でパスワード変えない方が非難されるだろ
Re: (スコア:0)
パスワードを変えたら問題の発覚が早まるだろ。
Re: (スコア:0)
2FA有効にしましたってIssueに回答してる
Re: (スコア:0)
またモルモン教徒じゃなかったら書かれもしないコメントだなぁ
Re: (スコア:0)
なぜググることができないのだろう。
# そして日本でなくアメリカでは?
Re: (スコア:0)
Rubyと rubygems.orgを提供しているサーバアプリの区別がついていない
Re: (スコア:0)
元のネタは二十年くらい前なんで既に『やっぱりマグロ食ってるようなのはダメだな』の背景が一切ない状態でも問題なく伝わる。背景を一切知らない人でも文の意味そのままで使う。そういう時代が来たのです。
#つーかさー魚食ってるようなやつがダメなのはもっと前からはっきりしてたしさー
#たしかジラースの餌って魚でしょ