威尼斯手机平台-电子正规官网登录首页

热门关键词: 威尼斯手机平台,威尼斯登录首页,威尼斯正规官网
因为该库的最新版本是,这些版本包含了后门机制
分类:热门贴子

流行的 Ruby 库 Bootstrap-Sass 曝出后门代码。

RubyGems软件包存储库的维护者近年来移除了十一个Ruby库中冒出的十几个恶意版本,那些本子富含了方便之门机制,能够在选择Ruby时起步加密货币发现程序。

威尼斯正规官网 1

恶意代码最早发掘于4个本子的rest-client库中,rest-client是多少个那一个流行的Ruby库。这几个库中的恶意代码会将受感染系统的U中华VL和意况变量发送到乌Crane的长间距服务器。同期代码还含有贰个后门机制,允许攻击者将cookie文件发送回受感染对象,并同意攻击者执行恶意指令。钻探者调查后意识,这种机制被用于挖矿。

Bootstrap-Sass 是二个盛行的 Ruby UI 框架,它为开拓人士提供了贰个 Sass 版本的 Bootstrap。据 ZDNet 的通信,那礼拜三,开拓者 德里克 Barnes 在该库 3.2.0.3 版本中意识后门代码,这一小段具备恶意性质的代码如上海教室所示,它放到 Ruby 或 Ruby on Rails 之后,会加载一个 cookie 文件并实践其内容。   

除外rest-client,还会有其余12个Ruby库也中招,但它们都以经过应用另四个功效齐全的库增添恶意代码,然后以新名称在RubyGems上再也上传而创制的。

据计算,纵然 Bootstrap-Sass 的安装量到达 2800 万,然而从此以后门版本唯有1477 次安装,因为该库的流行版本是 3.4.1,而少之又少有开垦者在应用旧版本分支,那点提供了有效的木棉花保险。

商量人口分别计算了那一个黑心版本在被移除前被下载的次数,一共被下载了两千多次,个中rest-client 1.6.13被下载了一千数十次:

报告公开的当日该后门已经从 RubyGems 中删去,Bootstrap-Sass 团队还撤销了对 RubyGems 的拜望权限,因为开采职员以为他俩的帐户遭到侵略并被用来推送恶意代码

rest-client:1.6.10,1.6.12

除此以外,RubyGems 和 GitHub 上也宣告了 Bootstrap-Sass v3.2.0.4 版本,完全除去了方便之门的相关内容。

bitcoin_威尼斯正规官网,vanity:4.3.3

(文/开源中中原人民共和国卡塔尔国    

lita_coin:0.0.3

omniauth_amazon:1.0.1

cron_parser:0.1.4和1.0.13

coin_base:4.2.1

blockchain_wallet:0.0.6

awesome-bot:1.18.0

doge-coin:1.0.2

capistrano-colors:0.5.5

达州起见,提出在依靠关系树中去除那些库版本,或许晋级/降级到平安版本

本文由威尼斯手机平台发布于热门贴子,转载请注明出处:因为该库的最新版本是,这些版本包含了后门机制

上一篇:致力于开放互联网的 Mozilla 近日发布了 ,欧盟数据隐私法规的 下一篇:没有了
猜你喜欢
热门排行
精彩图文