Wpadka GitHuba: można było przejąć dowolny projekt. Przejęto Railsy

[forest 7041]

Formularz aktualizacji klucza publicznego w serwisie GitHub zawiera?? podatno??Ä?, kt??rÄ? wczoraj jeden z u??ytkownik??w wykorzysta?? do przejÄ?cia kontroli nad hostowanym na GitHubie projektem Ruby on Rails. AtakujÄ?cy m??g?? r??wnie dobrze przejÄ?Ä? ka??dy inny projekt z GitHubaâ??

 

Na czym polega b??Ä?d â??mass assignmentâ??

 

Podatno??Ä?, kt??rÄ? do ataku wykorzysta?? Egor Homakov to znany od lat problem nazywany mass assignment). Ten wystÄ?pujÄ?cy w Railsach b??Ä?d programistyczny, przypomina trochÄ? PHP-owe problemy z â??register globalsâ?.

B??Ä?d pozwala na nieautoryzowanÄ? zmianÄ? warto??ci pewnych parametr??w obiektu. W skr??cie, chodzi o sytuacjÄ?, w kt??rej programista u??ywa

 

Ukryta Zawartość

Treść widoczna tylko dla użytkowników forum DarkSiders. Zaloguj się lub załóż darmowe konto na forum aby uzyskać dostęp bez limitów.

 

bez uprzedniej definicji atrybut??w, kt??re majÄ? podlegaÄ? tzw. masowemu przypisaniu przy pomocy

 

Ukryta Zawartość

Treść widoczna tylko dla użytkowników forum DarkSiders. Zaloguj się lub załóż darmowe konto na forum aby uzyskać dostęp bez limitów.

 

 

Co zrobi?? Homakov?

 

Homakovowi uda??o siÄ? za pomocÄ? w/w podatno??ci dodaÄ? sw??j klucz publiczny do projektu Rails, czyli kr??tko m??wiÄ?c sta?? siÄ? administratorem projektu. M??g?? robiÄ? wszystko; kasowaÄ? pliki, modfikowaÄ? je, itp. Na szczÄ???cie wykona?? tylko jeden zabawny commit o tre??ci:

 

 

 

Reakcja GitHuba

 

GitHub natychmiast po wykryciu ataku uniewa??ni?? â??wstrzykniÄ?tyâ? klucz publiczny i zawiesi?? konto atakujÄ?cego. Za??atano tak??e podatno??Ä?. Obecnie trwa analiza log??w.

 

 

 

??r??d??o niebezpiecznik.pl