歡迎光臨
每天分享高質量文章

【每日安全資訊】流行 Ruby 庫曝出惡意後門程式碼,始作俑者未知

流行的 Ruby 庫 Bootstrap-Sass 曝出後門程式碼。Bootstrap-Sass 是一個流行的 Ruby UI 框架,它為開發人員提供了一個 Sass 版本的 Bootstrap。據 ZDNet 的報導,上週三,開發者 Derek Barnes 在該庫 3.2.0.3 版本中發現後門程式碼,這一小段具有惡意性質的程式碼如上圖所示,它嵌入 Ruby 或 Ruby on Rails 之後,會載入一個 cookie 檔案並執行其內容。

據統計,雖然 Bootstrap-Sass 的安裝量達到 2800 萬,但是此後門版本僅有 1477 次安裝,因為該庫的最新版本是 3.4.1,而很少有開發者在使用舊版本分支,這一點提供了有效的安全保障。

報告公開的同一天該後門已經從 RubyGems 中刪除,Bootstrap-Sass 團隊還撤銷了對 RubyGems 的訪問許可權,因為開發人員認為他們的帳戶遭到入侵併被用來推送惡意程式碼。

此外,RubyGems 和 GitHub 上也釋出了 Bootstrap-Sass v3.2.0.4 版本,完全刪除了後門的相關內容。

*來源:開源中國

更多資訊

◈ 聯合國專家:希望不要將阿桑奇逐出厄瓜多大使館
聯合國酷刑問題報告員稱,如果厄瓜多選擇將維基解密創始人朱利安·阿桑奇驅逐出自家大使館,那當事人或面臨“極度脆弱”的風險。尼爾斯·梅爾澤(Nils Melzer)週五表示,他對此事感到震驚,希望能親手調查這個案子。其在一份新聞稿中稱:“如果在引渡期間缺乏適當的保障程式,阿桑奇可能在被逐出厄瓜多大使館後面臨權利被嚴重侵犯的風險”。

來源:cnBeta.COM
詳情:http://t.cn/E6ZwsTJ

◈ 友訊路由器 DNS 流量遭駭客劫持
過去三個月,駭客組織利用友訊科技等公司路由器韌體的已知漏洞,悄悄修改路由器的 DNS 設定,在使用者訪問合法網站時傳回會錯誤的 IP 地址,將其重定向到釣魚網站,竊取登陸憑證。

來源:solidot.org
詳情:http://t.cn/E6ZAhit

◈ 新版個人徵信報告將上線 拖欠水費也可能影響信用 加快個人資訊保護立法
央行新版個人徵信報告採集資訊將更細化、更全面、更精準。人們在日常生活中應更為註意維護個人信用狀況,因為當申請貸款時,無論是房貸、車貸還是消費貸款,金融機構大多數都先會去檢視個人徵信報告。徵信報告上一旦留下負面記錄,就可能會對信貸獲批造成影響

來源:新華網
詳情:http://t.cn/E6ZAZI9

◈ 湖北一公職人員洩露公民資訊5萬餘條 獲利23萬
張某原本就職於某工商局,2017年4月以來,為謀取非法利益,利用職務便利在大資料分析平臺上查詢並下載了大量企業登記的公民個人資訊,包括企業名稱、法人代表姓名、電話號碼等,後透過在網上QQ聊天尋找購買工商登記註冊資訊的“買家”,並透過QQ將企業登記的公民個人資訊傳送給客戶。

來源:澎湃新聞
詳情:http://t.cn/E6ZA28R

(資訊來源於網路,安華金和蒐集整理)

 

    贊(0)

    分享創造快樂