Не успело Rails сообщество оправится от последних критических уязвимостей с YAML парсингом, как злоумышленники нанесли удар по святому — RubyGems.org(wiki), через выше описанные уязвимости. Как минимум один зловредный гем был залит на RubyGems, который потенциально имел доступ к чувствительной информации, включая права на манипулирование гемами.
В настоящий момент команда RubyGems проверяет все гемы, так как не знает какие из них были подделаны. С помощью зеркала двухмесячной давности было установлено, что в 84% гемов не вносились какие либо изменения. Остальные 16% проверяются вторым зеркалом.
Источники:
www.ehackingnews.com/2013/01/rubygemsorg-hacked-via-yaml-parsing.html
status.heroku.com/incidents/489
ссылка на оригинал статьи http://habrahabr.ru/post/167731/
Добавить комментарий