ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบเบงเบ”เบžเบปเบšเบฅเบฐเบซเบฑเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบขเบนเปˆเปƒเบ™เบฅเบนเบเบ„เป‰เบฒเบชเปˆเบงเบ™เบ—เบตเปˆเป€เบซเบผเบทเบญ เปเบฅเบฐ 10 เปเบžเบฑเบเป€เบเบ” Ruby เบญเบทเปˆเบ™เป†

เบเบงเบ”เบžเบปเบšเบฅเบฐเบซเบฑเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบขเบนเปˆเปƒเบ™เบฅเบนเบเบ„เป‰เบฒเบชเปˆเบงเบ™เบ—เบตเปˆเป€เบซเบผเบทเบญ เปเบฅเบฐ 10 เปเบžเบฑเบเป€เบเบ” Ruby เบญเบทเปˆเบ™เป†

เปƒเบ™เบŠเบธเบ”เปเบเป‰เบงเบ›เบฐเป€เบชเบตเบ”เบ—เบตเปˆเบ™เบดเบเบปเบก เบฅเบนเบเบ„เป‰เบฒเบžเบฑเบเบœเปˆเบญเบ™, เบกเบตเบˆเปเบฒเบ™เบงเบ™เบ—เบฑเบ‡เบซเบกเบปเบ” 113 เบฅเป‰เบฒเบ™เบ”เบฒเบงเป‚เบซเบฅเบ”, เบเปเบฒเบ™เบปเบ” เบเบฒเบ™เบ—เบปเบ”เปเบ—เบ™เบฅเบฐเบซเบฑเบ”เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ (CVE-2019-15224) เบ—เบตเปˆเบ”เบฒเบงเป‚เบซเบผเบ”เบ„เบณเบชเบฑเปˆเบ‡เบ—เบตเปˆเบ›เบฐเบ•เบดเบšเบฑเบ”เป„เบ”เป‰ เปเบฅเบฐเบชเบปเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™เป„เบ›เบเบฑเบ‡เป‚เบฎเบชเบžเบฒเบเบ™เบญเบ. เบเบฒเบ™โ€‹เป‚เบˆเบกโ€‹เบ•เบตโ€‹เป„เบ”เป‰โ€‹เบ”เปเบฒโ€‹เป€เบ™เบตเบ™โ€‹เบเบฒเบ™โ€‹เป‚เบ”เบโ€‹เบœเปˆเบฒเบ™โ€‹เบเบฒเบ™โ€‹ เบ›เบฐเบ™เบตเบ›เบฐเบ™เบญเบก developer account rest-client เปƒเบ™ rubygems.org repository, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบœเบนเป‰เป‚เบˆเบกเบ•เบตเป„เบ”เป‰เป€เบœเบตเบเปเบœเปˆเบเบฒเบ™เบ›เปˆเบญเบ 13-14 เปƒเบ™เบงเบฑเบ™เบ—เบต 1.6.10 เปเบฅเบฐ 1.6.13 เบชเบดเบ‡เบซเบฒ, เป€เบŠเบดเปˆเบ‡เบฅเบงเบกเบกเบตเบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ. เบเปˆเบญเบ™เบ—เบตเปˆเบชเบฐเบšเบฑเบšเบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ–เบทเบเบชเบฐเบเบฑเบ”, เบœเบนเป‰เปƒเบŠเป‰เบ›เบฐเบกเบฒเบ™เบซเบ™เบถเปˆเบ‡เบžเบฑเบ™เบ„เบปเบ™เบชเบฒเบกเบฒเบ”เบ”เบฒเบงเป‚เบซเบฅเบ”เบžเบงเบเบกเบฑเบ™เป„เบ”เป‰ (เบœเบนเป‰เป‚เบˆเบกเบ•เบตเป„เบ”เป‰เบ›เปˆเบญเบเบเบฒเบ™เบญเบฑเบšเป€เบ”เบ”เปƒเบซเป‰เบเบฑเบšเบฎเบธเปˆเบ™เป€เบเบปเปˆเบฒเป€เบžเบทเปˆเบญเบšเปเปˆเปƒเบซเป‰เบ„เบงเบฒเบกเบชเบปเบ™เปƒเบˆ).

เบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ overrides เบงเบดเบ—เบตเบเบฒเบ™ "#authenticate" เปƒเบ™เบซเป‰เบญเบ‡เบฎเบฝเบ™
เบเบฒเบ™เบฅเบฐเบšเบธเบ•เบปเบงเบ•เบปเบ™, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เปเบ•เปˆเบฅเบฐเบงเบดเบ—เบตเบเบฒเบ™เป‚เบ—เบซเบฒเบชเบปเปˆเบ‡เบœเบปเบ™เปƒเบซเป‰เบญเบตเป€เบกเบฅเปŒเปเบฅเบฐเบฅเบฐเบซเบฑเบ”เบœเปˆเบฒเบ™เบ—เบตเปˆเบ–เบทเบเบชเบปเปˆเบ‡เป„เบ›เปƒเบ™เบฅเบฐเบซเบงเปˆเบฒเบ‡เบเบฒเบ™เบžเบฐเบเบฒเบเบฒเบกเบเบงเบ”เบชเบญเบšเบ„เบงเบฒเบกเบ–เบทเบเบ•เป‰เบญเบ‡เบ–เบทเบเบชเบปเปˆเบ‡เป„เบ›เบซเบฒเป€เบˆเบปเป‰เบฒเบžเบฒเบšเบ‚เบญเบ‡เบœเบนเป‰เป‚เบˆเบกเบ•เบต. เบ”เป‰เบงเบเบงเบดเบ—เบตเบ™เบตเป‰, เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบชเบนเปˆเบฅเบฐเบšเบปเบšเบ‚เบญเบ‡เบœเบนเป‰เปƒเบŠเป‰เบšเปเบฅเบดเบเบฒเบ™เบ—เบตเปˆเปƒเบŠเป‰เบŠเบฑเป‰เบ™ Identity เปเบฅเบฐเบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบฅเบนเบเบ„เป‰เบฒเบ—เบตเปˆเบกเบตเบ„เบงเบฒเบกเบชเปˆเบฝเบ‡เปเบกเปˆเบ™เบ–เบทเบเบ‚เบฑเบ”เบ‚เบงเบฒเบ‡, เป€เบŠเบดเปˆเบ‡. เบ—เบตเปˆเป‚เบ”เบ”เป€เบ”เบฑเปˆเบ™ เป€เบ›เบฑเบ™เบเบฒเบ™เป€เบžเบดเปˆเบ‡เบžเบฒเบญเบฒเป„เบชเปƒเบ™เปเบžเบฑเบเป€เบเบฑเบ” Ruby เบ—เบตเปˆเบ™เบดเบเบปเบกเบซเบผเบฒเบ, เบฅเบงเบกเบ—เบฑเบ‡ ast (64 เบฅเป‰เบฒเบ™เบ”เบฒเบงเป‚เบซเบผเบ”), oauth (32 เบฅเป‰เบฒเบ™), fastlane (18 เบฅเป‰เบฒเบ™), เปเบฅเบฐ kubeclient (3.7 เบฅเป‰เบฒเบ™).

เบ™เบญเบเบˆเบฒเบเบ™เบฑเป‰เบ™, backdoor เป„เบ”เป‰เบ–เบทเบเป€เบžเบตเปˆเบกเป€เบ‚เบปเป‰เบฒเปƒเบ™เบฅเบฐเบซเบฑเบ”, เบญเบฐเบ™เบธเบเบฒเบ”เปƒเบซเป‰เบฅเบฐเบซเบฑเบ” Ruby arbitrary เบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™เป‚เบ”เบเบœเปˆเบฒเบ™เบŸเบฑเบ‡เบŠเบฑเบ™ eval. เบฅเบฐเบซเบฑเบ”เบ–เบทเบเบชเบปเปˆเบ‡เบœเปˆเบฒเบ™ Cookie เบ—เบตเปˆเป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบฎเบฑเบšเบฎเบญเบ‡เป‚เบ”เบเบเบฐเปเบˆเบ‚เบญเบ‡เบœเบนเป‰เป‚เบˆเบกเบ•เบต. เป€เบžเบทเปˆเบญเปเบˆเป‰เบ‡เปƒเบซเป‰เบœเบนเป‰เป‚เบˆเบกเบ•เบตเบเปˆเบฝเบงเบเบฑเบšเบเบฒเบ™เบ•เบดเบ”เบ•เบฑเป‰เบ‡เปเบžเบฑเบเป€เบเบฑเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบขเบนเปˆเปƒเบ™เป‚เบฎเบ”เบžเบฒเบเบ™เบญเบ, URL เบ‚เบญเบ‡เบฅเบฐเบšเบปเบšเบ‚เบญเบ‡เบœเบนเป‰เบ–เบทเบเป€เบ„เบฒเบฐเบฎเป‰เบฒเบเปเบฅเบฐเบเบฒเบ™เบ„เบฑเบ”เป€เบฅเบทเบญเบเบ‚เปเป‰เบกเบนเบ™เบเปˆเบฝเบงเบเบฑเบšเบชเบฐเบžเบฒเบšเปเบงเบ”เบฅเป‰เบญเบก, เป€เบŠเบฑเปˆเบ™เบฅเบฐเบซเบฑเบ”เบœเปˆเบฒเบ™เบ—เบตเปˆเบšเบฑเบ™เบ—เบถเบเป„เบงเป‰เบชเปเบฒเบฅเบฑเบš DBMS เปเบฅเบฐเบšเปเบฅเบดเบเบฒเบ™เบ„เบฅเบฒเบง, เบ–เบทเบเบชเบปเปˆเบ‡. เบ„เบงเบฒเบกเบžเบฐเบเบฒเบเบฒเบกเบ—เบตเปˆเบˆเบฐเบ”เบฒเบงเป‚เบซเบผเบ”เบชเบฐเบ„เบฃเบดเบšเบชเบณเบฅเบฑเบšเบเบฒเบ™เบ‚เบธเบ”เบ„เบปเป‰เบ™ cryptocurrency เบ–เบทเบเบšเบฑเบ™เบ—เบถเบเป‚เบ”เบเปƒเบŠเป‰เบฅเบฐเบซเบฑเบ”เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ—เบตเปˆเบเปˆเบฒเบงเบกเบฒเบ‚เป‰เบฒเบ‡เป€เบ—เบดเบ‡.

เบซเบผเบฑเบ‡เบˆเบฒเบเบเบฒเบ™เบชเบถเบเบชเบฒเบฅเบฐเบซเบฑเบ”เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบกเบฑเบ™เปเบกเปˆเบ™ เป€เบ›เบตเบ”เป€เบœเบตเบเบเบฒเบ™เบ›เปˆเบฝเบ™เปเบ›เบ‡เบ—เบตเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™เปเบกเปˆเบ™เบกเบตเบขเบนเปˆเปƒเบ™ 10 เบŠเบธเบ” เปƒเบ™ Ruby Gems, เป€เบŠเบดเปˆเบ‡เบšเปเปˆเป„เบ”เป‰เบ–เบทเบเบˆเบฑเบš, เปเบ•เปˆเป„เบ”เป‰เบ–เบทเบเบเบฐเบเบฝเบกเป‚เบ”เบเบชเบฐเป€เบžเบฒเบฐเป‚เบ”เบเบœเบนเป‰เป‚เบˆเบกเบ•เบตเป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ”เบ—เบตเปˆเบ™เบดเบเบปเบกเบญเบทเปˆเบ™เป†เบ—เบตเปˆเบกเบตเบŠเบทเปˆเบ„เป‰เบฒเบเบ„เบทเบเบฑเบ™, เป€เบŠเบดเปˆเบ‡ dash เป„เบ”เป‰เบ–เบทเบเปเบ—เบ™เบ—เบตเปˆเบ”เป‰เบงเบ underscore เบซเบผเบทเปƒเบ™เบ—เบฒเบ‡เบเบฑเบšเบเบฑเบ™ (เบ•เบปเบงเบขเปˆเบฒเบ‡, เบญเบตเบ‡เบ•เบฒเบกเบเบฒเบ™ cron-parser เปเบžเบเป€เบเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบ cron_parser เบ–เบทเบเบชเป‰เบฒเบ‡เบ‚เบถเป‰เบ™, เปเบฅเบฐเบญเบตเบ‡เปƒเบชเปˆ doge_coin doge-coin malicious package). เปเบžเบฑเบเป€เบเบ”เบšเบฑเบ™เบซเบฒ:

เบŠเบธเบ”เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ—เปเบฒเบญเบดเบ”เบˆเบฒเบเบšเบฑเบ™เบŠเบตเบฅเบฒเบเบŠเบทเปˆเบ™เบตเป‰เป„เบ”เป‰เบ–เบทเบเบˆเบฑเบ”เบžเบตเบกเบกเบฒเปƒเบ™เบงเบฑเบ™เบ—เบต 12 เป€เบ”เบทเบญเบ™เบžเบถเบ”เบชเบฐเบžเบฒ, เปเบ•เปˆเบชเปˆเบงเบ™เปƒเบซเบเปˆเบ‚เบญเบ‡เบžเบงเบเป€เบ‚เบปเบฒเบ›เบฒเบเบปเบ”เปƒเบ™เป€เบ”เบทเบญเบ™เบเปเบฅเบฐเบเบปเบ”. เปƒเบ™เบˆเปเบฒเบ™เบงเบ™เบ—เบฑเบ‡เบซเบกเบปเบ”, เบŠเบธเบ”เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เป„เบ”เป‰เบ–เบทเบเบ”เบฒเบงเป‚เบซเบผเบ”เบ›เบฐเบกเบฒเบ™ 2500 เป€เบ—เบทเปˆเบญ.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™