XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

在流行的Bootstrap-Sass Ruby库中找到的后门代码

发布时间:2019-04-05 17:15:41 来源:

在Ruby和Ruby on Rails应用程序中用于前端用户界面的流行Ruby库中添加了后门代码。通过库更新删​​除了恶意代码。

受此事件影响的库是Bootstrap-Sass,这是一个Ruby包,为开发人员提供了一个Sass -version of Bootstrap,这是当今开发人员最流行的UI框架。

后门的存在被曝光于3月27日,上周,当软件开发者德里克-巴恩斯发现,有人取出一个版本的库(引导-萨斯v3.2.0.2),并立即发布新版本,片刻之后,V3。 2.0.3。

引起Barnes注意的是这个版本的事实是,改变只是在RubyGems上进行的,RubyGems是Ruby库的流行存储库,但不是在GitHub上进行的,而GitHub是管理库的源代码的。

库将RUBY应用程序暴露给远程代码执行

在检查RubyGems上发布的v3.2.03代码时,Barnes发现了他所描述的“有趣的代码”。

根据网络安全公司Bad Packets的一位成员的说法,这段代码嵌入Ruby或Ruby on Rails(流行的Ruby框架)后,会加载一个cookie文件并执行其内容,他确认了该库的恶意性质。

热点推荐
随机文章