کد QR مطلبدریافت لینک صفحه با کد QR

حفره در نرم‌افزار محبوب متن‌باز، 28 میلیون کاربر را در معرض خطر امنیتی قرار داد

www.theinquirer.net , 4 ارديبهشت 1398 ساعت 15:42

ایتنا- بر اساس گزارش‌های منتشر شده یک حفره امنیتی دریکی از نرم‌افزارهای محبوب متن‌باز حدود 28 میلیون کاربر را تحت تأثیر قرار داده است.



بر اساس گزارش‌های منتشرشده، یک حفره امنیتی در یکی از نرم‌افزارهای محبوب متن‌باز حدود 28 میلیون کاربر را تحت تأثیر قرار داده است.
 
به گزارش ایتنا از رایورز به نقل از وب‌سایت خبری تحلیلی theinquirer، بر اساس اطلاعات ارائه شده از سوی یکی از بنگاه‌های امنیتی به نام Synk، یک نسخه مخرب از ابزار توسعه وب Bootstrap-Sass در انباره رسمی RubyGems منتشرشده است که شامل حفره‌ای امنیتی بوده است که هکرها با استفاده از آن می‌توانستند از راه دور، دستوراتی را روی نرم‌افزارهای Rails به اجرا دربیاورند.
 
بر اساس اظهارات محققان Synk این آسیب‌پذیری به‌صورت کاملا نهان در نسخه 3.2.0.3 این ابزار وجود داشته و به هکرهای راه دور اجازه می‌داده تا کدهایی را روی سرورهایی که میزبان نسخه آسیب‌دیده هستند اجرا کنند.

آنها در این رابطه اظهار کردند که: «بسته Bootstrap-Sass بسیار محبوب است و این حفره امنیتی مخرب، شمار زیادی از کاربران را به‌صورت بالقوه تحت تأثیر قرار می‌دهد. انباره GitHub این بسته بیش از 12 هزار بار ستاره‌دار شده است و درمجموع 27 میلیون بار دانلود شده است. نسخه فعلی 3.4.1 تاکنون بیش از 217000 بار دانلود شده است.»
 

 
 
در ادامه در این باره این چنین گفته شده است: «یک بررسی سرانگشتی در حدود 1670 انباره GitHub که تحت تأثیر این آسیب‌دیدگی مخرب بودند را نشان داد. این رقم به‌طور معنی‌داری در هنگام شمارش استفاده از آن در برنامه‌ها به‌عنوان وابستگی گذرا افزایش می‌یابد.»

البته هویت هکر این رخنه هنوز شناخته شده نیست، اما کارشناسان Synk معتقدند که آنها توانستند گواهی‌نامه‌های انتشار بسته RubyGems مخرب را از یکی از دو نگهدارنده‌های آنها به دست بیاورند.
 
البته لازم به ذکر است که این نسخه مخرب هم‌اکنون از RubyGems برداشته است و نگهدارنده‌ها نیز اعلام کرده‌اند که گواهی‌نامه‌های خود را تغییر داده‌اند.
به این ترتیب به‌هیچ عنوان جای نگرانی در رابطه با وقوع حمله‌ای مشابه به این ابزار پرطرفدار در دنیا وجود ندارد.
 


کد مطلب: 56160

آدرس مطلب: https://www.itna.ir/news/56160/حفره-نرم-افزار-محبوب-متن-باز-28-میلیون-کاربر-معرض-خطر-امنیتی-قرار

ايتنا
  https://www.itna.ir