歡迎光臨
每天分享高質量文章

【每日安全資訊】流行 Ruby 庫曝出惡意後門代碼,始作俑者未知

流行的 Ruby 庫 Bootstrap-Sass 曝出後門代碼。Bootstrap-Sass 是一個流行的 Ruby UI 框架,它為開發人員提供了一個 Sass 版本的 Bootstrap。據 ZDNet 的報導,上周三,開發者 Derek Barnes 在該庫 3.2.0.3 版本中發現後門代碼,這一小段具有惡意性質的代碼如上圖所示,它嵌入 Ruby 或 Ruby on Rails 之後,會加載一個 cookie 檔案並執行其內容。

據統計,雖然 Bootstrap-Sass 的安裝量達到 2800 萬,但是此後門版本僅有 1477 次安裝,因為該庫的最新版本是 3.4.1,而很少有開發者在使用舊版本分支,這一點提供了有效的安全保障。

報告公開的同一天該後門已經從 RubyGems 中刪除,Bootstrap-Sass 團隊還撤銷了對 RubyGems 的訪問權限,因為開發人員認為他們的帳戶遭到入侵併被用來推送惡意代碼。

此外,RubyGems 和 GitHub 上也發佈了 Bootstrap-Sass v3.2.0.4 版本,完全刪除了後門的相關內容。

*來源:開源中國

更多資訊

◈ 聯合國專家:希望不要將阿桑奇逐出厄瓜多爾大使館
聯合國酷刑問題報告員稱,如果厄瓜多爾選擇將維基解密創始人朱利安·阿桑奇驅逐出自家大使館,那當事人或面臨“極度脆弱”的風險。尼爾斯·梅爾澤(Nils Melzer)周五表示,他對此事感到震驚,希望能親手調查這個案子。其在一份新聞稿中稱:“如果在引渡期間缺乏適當的保障程式,阿桑奇可能在被逐出厄瓜多爾大使館後面臨權利被嚴重侵犯的風險”。

來源:cnBeta.COM
詳情:http://t.cn/E6ZwsTJ

◈ 友訊路由器 DNS 流量遭黑客劫持
過去三個月,黑客組織利用友訊科技等公司路由器韌體的已知漏洞,悄悄修改路由器的 DNS 設置,在用戶訪問合法網站時傳回會錯誤的 IP 地址,將其重定向到釣魚網站,竊取登陸憑證。

來源:solidot.org
詳情:http://t.cn/E6ZAhit

◈ 新版個人徵信報告將上線 拖欠水費也可能影響信用 加快個人信息保護立法
央行新版個人徵信報告採集信息將更細化、更全面、更精準。人們在日常生活中應更為註意維護個人信用狀況,因為當申請貸款時,無論是房貸、車貸還是消費貸款,金融機構大多數都先會去查看個人徵信報告。徵信報告上一旦留下負面記錄,就可能會對信貸獲批造成影響

來源:新華網
詳情:http://t.cn/E6ZAZI9

◈ 湖北一公職人員泄露公民信息5萬餘條 獲利23萬
張某原本就職於某工商局,2017年4月以來,為謀取非法利益,利用職務便利在大資料分析平臺上查詢並下載了大量企業登記的公民個人信息,包括企業名稱、法人代表姓名、電話號碼等,後通過在網上QQ聊天尋找購買工商登記註冊信息的“買家”,並通過QQ將企業登記的公民個人信息發送給客戶。

來源:澎湃新聞
詳情:http://t.cn/E6ZA28R

(信息來源於網絡,安華金和搜集整理)

 

    赞(0)

    分享創造快樂