パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2019年8月25日のセキュリティ記事一覧(全2件)
13988882 story
Ruby

RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 37

ストーリー by headless
休眠 部門より

RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713The Registerの記事CVE-2019-15224)。

不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。

不正アクセスを受けたメインテナーのHacker Newsへの投稿によると、RubyGems.orgアカウントと他サービスでパスワードを共有しており、そのパスワードは他サービスから漏洩していたという。RubyGems.orgアカウントは10年以上前に作成したもので、最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかったとのこと。攻撃の流れとしては、価値の高いターゲットライブラリを選んでアカウント名を取得し、流出パスワードのリストと照合したとの見方を示している。

RubyGems.orgは影響を受けるバージョンをすべて公開停止し、1.6.9と同じ内容の1.6.14を新バージョンとしてリリースしている。さらに、二要素認証の使用などメインテナーに求めるセキュリティプラクティスの確立や、アクティブなメインテナーの維持に関するポリシーの導入などを計画しているとのこと。なお、これに関連して不正なコードを含むパッケージが多数見つかり、すべて公開停止となっている。

RubyGems.orgアカウントへの不正アクセスとしては、3月にバックドアを含むbootstrap-sass 3.2.0.3が公開されたことがスラドでも話題になったが、6月にもバックドアを含むstrong_password 0.0.7が公開されていたとのことだ。不正アクセスを受けたstrong_passwordのオーナーも他サービスで流出した古いパスワードの使用していた点や最近活動していなかった点など、rest-clientのメインテナーと状況が似通っている。

13988901 story
交通

ふるさと納税返礼品のドライブレコーダー、今年度に入って人気急上昇 125

ストーリー by headless
対策 部門より

Bill Hates曰く、

昨年度からドライブレコーダーをふるさと納税の返礼品に用意している海老名市では、今年度に入ってから毎月の申込件数が前年同月を上回っているそうだ(カナロコの記事)。

返礼品のドライブレコーダーは市内に本社を置くオウルテックの製品。8月の申込件数は22日の段階で昨年8月の6倍に達し、本年度のドライブレコーダー分寄附金額は既に昨年度1年分に並んだという。海老名市商工課はあおり運転対策でドライブレコーダーが選ばれているとみるが、スラド諸氏はドライブレコーダーの選定時にどのような機能を重視するだろうか。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...