“Bootstrap-Sass”ning Ruby-kutubxonasida bekdor aniqlandi
09.04.2019
Rukn: Internet.
Muallif: .

Ishlab chiquvchilar zararli kodni yoʻq qiladigan Bootstrap-Sass v3.2.0.4 versiyasini chiqardilar.

Ruby ishlatiladigan mashhur Bootstrap-Sass kutubxonasida va foydalanuvchi interfeysini namoyish qilish uchun Rails dasturida zaxira eshigi mavjudligi aniqlandi. Bootstrap-Sass bugungi kunda veb-loyihalar uchun eng ommalashgan “Bootstrap”ning Sass -versiyasini ishlab chiqaruvchilarga namoyish etdi.

Bekdor mavjudligi 27-mart kuni maʼlum boʻldi. Buni ishlab chiquvchi Derek Barnes aniqladi. Kimdir Bootstrap-Sass v3.2.0.2 versiyasini olib tashlagan va uni darhol v3.2.0.3 versiyasi bilan almashtirgan. Dasturchini aynan shu narsa qiziqtirib qoldi, bu oʻzgarishlar RubyGems s (Ruby kutubxonalari uchun omborlar) faqatgina GitHub da emas, balki kutubxonaning manba kodi nazorat qilinayotgan joyda amalga oshirildi.

RubyGems da joylashgan 3.2.03 versiyasini tahlil qilgach, Barnsning aniqlashicha, “Qiziqarli kod” cookie -fayllarni yuklagan va uning mazmunini toʻldirgan. Bekdor, dastur ishlab chiqaruvchining xabar bergan kuniyoq resursdan olib tashlandi. Bootstrap-Sass guruhi RubyGems da akkauntni bloklab qoʻydi, tahmin qilinishicha u kutubxonaning zararli versiyasini tarqatgan.

Ishlab chiqaruvchilar Bootstrap-Sass v3.2.0.4 ning yangilanishini ishlab chiqardilar, u bekdorni yoʻq qiladi. Mutaxassislarning fikricha, zararlangan loyihalar soni nisbatan koʻp emas, chunki ishlab chiquvchilar asosan Bootstrap-Sass v3.4.1 ning soʻnggi versiyasidan foydalanadilar va kam qismi eskirgan versiyasidan foydalanadilar. RubyGemsning rasmiy statistikasiga koʻra, zararli versiya 1477 marta yuklab olingan.

Manba

Orphus system
O'zbеkistonda AKT yangiliklaridan birinchilar qatorida xabardor bo'lish uchun Telegramda infoCOM.UZ kanaliga obuna bo'ling.
Telegramga qo`shmoq
WhatsAppga qo`shmoq
Odnoklassnikiga yubormoq
VKontakteda bo`lishmoq