Wpadka GitHuba: można było przejąć dowolny projekt. Przejęto Railsy

[forest 7041]

Formularz aktualizacji klucza publicznego w serwisie GitHub zawiera?? podatno??Ä?, kt??rÄ? wczoraj jeden z u??ytkownik??w wykorzysta?? do przejÄ?cia kontroli nad hostowanym na GitHubie projektem Ruby on Rails. AtakujÄ?cy m??g?? r??wnie dobrze przejÄ?Ä? ka??dy inny projekt z GitHubaâ??

 

Na czym polega b??Ä?d â??mass assignmentâ??

 

Podatno??Ä?, kt??rÄ? do ataku wykorzysta?? Egor Homakov to znany od lat problem nazywany mass assignment). Ten wystÄ?pujÄ?cy w Railsach b??Ä?d programistyczny, przypomina trochÄ? PHP-owe problemy z â??register globalsâ?.

B??Ä?d pozwala na nieautoryzowanÄ? zmianÄ? warto??ci pewnych parametr??w obiektu. W skr??cie, chodzi o sytuacjÄ?, w kt??rej programista u??ywa

 

This is the hidden content, please

• Zaloguj się
• lub
• Zarejestruj się

 

bez uprzedniej definicji atrybut??w, kt??re majÄ? podlegaÄ? tzw. masowemu przypisaniu przy pomocy

 

This is the hidden content, please

• Zaloguj się
• lub
• Zarejestruj się

 

 

Co zrobi?? Homakov?

 

Homakovowi uda??o siÄ? za pomocÄ? w/w podatno??ci dodaÄ? sw??j klucz publiczny do projektu Rails, czyli kr??tko m??wiÄ?c sta?? siÄ? administratorem projektu. M??g?? robiÄ? wszystko; kasowaÄ? pliki, modfikowaÄ? je, itp. Na szczÄ???cie wykona?? tylko jeden zabawny commit o tre??ci:

 

 

 

Reakcja GitHuba

 

GitHub natychmiast po wykryciu ataku uniewa??ni?? â??wstrzykniÄ?tyâ? klucz publiczny i zawiesi?? konto atakujÄ?cego. Za??atano tak??e podatno??Ä?. Obecnie trwa analiza log??w.

 

 

 

??r??d??o niebezpiecznik.pl