ایتنا- بر اساس گزارشهای منتشر شده یک حفره امنیتی دریکی از نرمافزارهای محبوب متنباز حدود 28 میلیون کاربر را تحت تأثیر قرار داده است.
چهارشنبه ۴ ارديبهشت ۱۳۹۸ ساعت ۱۵:۴۲
حفره در نرمافزار محبوب متنباز، 28 میلیون کاربر را در معرض خطر امنیتی قرار داد
بر اساس گزارشهای منتشرشده، یک حفره امنیتی در یکی از نرمافزارهای محبوب متنباز حدود 28 میلیون کاربر را تحت تأثیر قرار داده است.
به گزارش ایتنا از رایورز به نقل از وبسایت خبری تحلیلی theinquirer، بر اساس اطلاعات ارائه شده از سوی یکی از بنگاههای امنیتی به نام Synk، یک نسخه مخرب از ابزار توسعه وب Bootstrap-Sass در انباره رسمی RubyGems منتشرشده است که شامل حفرهای امنیتی بوده است که هکرها با استفاده از آن میتوانستند از راه دور، دستوراتی را روی نرمافزارهای Rails به اجرا دربیاورند.
بر اساس اظهارات محققان Synk این آسیبپذیری بهصورت کاملا نهان در نسخه 3.2.0.3 این ابزار وجود داشته و به هکرهای راه دور اجازه میداده تا کدهایی را روی سرورهایی که میزبان نسخه آسیبدیده هستند اجرا کنند.
آنها در این رابطه اظهار کردند که: «بسته Bootstrap-Sass بسیار محبوب است و این حفره امنیتی مخرب، شمار زیادی از کاربران را بهصورت بالقوه تحت تأثیر قرار میدهد. انباره GitHub این بسته بیش از 12 هزار بار ستارهدار شده است و درمجموع 27 میلیون بار دانلود شده است. نسخه فعلی 3.4.1 تاکنون بیش از 217000 بار دانلود شده است.»
.jpg)
در ادامه در این باره این چنین گفته شده است: «یک بررسی سرانگشتی در حدود 1670 انباره GitHub که تحت تأثیر این آسیبدیدگی مخرب بودند را نشان داد. این رقم بهطور معنیداری در هنگام شمارش استفاده از آن در برنامهها بهعنوان وابستگی گذرا افزایش مییابد.»
البته هویت هکر این رخنه هنوز شناخته شده نیست، اما کارشناسان Synk معتقدند که آنها توانستند گواهینامههای انتشار بسته RubyGems مخرب را از یکی از دو نگهدارندههای آنها به دست بیاورند.
البته لازم به ذکر است که این نسخه مخرب هماکنون از RubyGems برداشته است و نگهدارندهها نیز اعلام کردهاند که گواهینامههای خود را تغییر دادهاند.
به این ترتیب بههیچ عنوان جای نگرانی در رابطه با وقوع حملهای مشابه به این ابزار پرطرفدار در دنیا وجود ندارد.
کد مطلب: 56160
