パスワードを忘れた? アカウント作成
13880358 story
Ruby

バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 20

ストーリー by headless
発見 部門より
RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事GitHub — Issue 1195Computingの記事CVE-2019-10842)。

発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。

この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。
  • by Anonymous Coward on 2019年04月07日 13時54分 (#3594821)

    ほんとです??なんで??

    ここに返信
  • by Anonymous Coward on 2019年04月07日 17時23分 (#3594879)

    フレームワーク毎に自分勝手なオレオレパッケージマネージャ作ってリポジトリには悪意を持った人間でも誰でもアップできてみんな「誰かが検証してるやろw」的な感じでそのまんま使うのが当たり前になっちゃってるよね

    ここに返信
  • by Anonymous Coward on 2019年04月07日 13時50分 (#3594818)

    また不正アクセスされんじゃないの?

    ここに返信
    • by Anonymous Coward

      アカウントを乗っ取ったのに攻撃者がそのアカウントのパスワードを変更していないのも変な話。

      • by Anonymous Coward

        記録も取ってないのによくパスワードが漏れたって断定できるよね。
        裏からプッシュできるだけかもしれないのに。

        • by Anonymous Coward

          誰も断定なんてしていない件。
          どのように不正利用されたかはっきりしないけど不正利用された可能性が濃厚なアカウントであれば念のためにパスワード変えるというか、その状態でパスワード変えない方が非難されるだろ

      • by Anonymous Coward

        パスワードを変えたら問題の発覚が早まるだろ。

    • by Anonymous Coward

      2FA有効にしましたってIssueに回答してる

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...