LINUX.ORG.RU

RubyGems.org был взломан

 ,


0

1

Не закончились ещё волнения по поводу недавних критических уязвимостей в Rails, в том числе неосвещённой на ЛОРе CVE-2013-0333, для которой, кстати, есть эксплоит, как был залит злоносный gem на святую святых — RubyGems.org.

Состояние на текущий момент можно посмотреть здесь.

>>> Подробности



Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 3)

Встряска была необходима можно сказать. Организм живёт и развивается же. Нас ждёт успех, посоны! Пользуясь случаем передаю привет всем железнодорожникам!

science ★★☆
()

А должно было быть как-то иначе? Написали «обновляйтесь быстрее, а-а-а!», но нет — они ждали пока это случится.

resurtm ★★★
()
# curl -I rubygems.org
HTTP/1.1 200 OK
Server: nginx/1.2.2

Даже nginx и тот старый, обновляйтесь чаще и дыр «неосвященных» будет меньше на сервере.

Deleted
()
Ответ на: комментарий от Deleted

обновляйтесь чаще и дыр «неосвященных» будет меньше на сервере.

Девиз арчеводов.

ados ★★★★★
()
Ответ на: комментарий от Deleted

Правильный девиз — вообще ставить левые идентификаторы. Так, прикола ради.

e7z0x1 ★★★★★
()

бида, чего ж не обновились вовремя?

rikardoac
()
Ответ на: РЕШЕТО!!!1 от drakmail

Почему этого еще никто не написал? ЛОР, я не узнаю тебя :)

опоздал

на самом деле во взломе ничего удивительного

количество ежедневных транзакций и запросов там просто нереальное

kto_tama ★★★★★
()
Ответ на: РЕШЕТО!!!1 от drakmail

Почему этого еще никто не написал? ЛОР, я не узнаю тебя :)

Это же очевидно, поэтому и не говорят.

anonymous
()
Ответ на: комментарий от RaySlava

Это к maxcom вопрос, мне как-то боязно его кастовать.

Lorchanin
() автор топика
Ответ на: комментарий от true_hacker

Вовсе нет, этот ряд уязвимостей говорит лишь о том, что RoR становится популярным. Всё мейнстримное - дырявое.

Lorchanin
() автор топика

Темная сторона свидетельства того, что на руби есть жизнь, в отличии от..

special-k ★★★★
()

Осквернён, ох, лол!

Jayrome ★★★★★
()
Ответ на: комментарий от Lorchanin

К сожалению у админов не становится, весь этот постоянно обновляемый и меняющийся серверный парк их заставляет излишьне работать.

zch
()

Решето!

Deleted
()
Ответ на: комментарий от true_hacker

Ты хоть понимаешь, если true_hacker заменять скрипты, true_hacker уже будеть не нужен?

починил. не благодари.

linuxnewb
()
Ответ на: комментарий от special-k

админов заменить на скрипты, и будет все ок.

неплохой наброс :) только вот эти самые скрипты лучше админам писать.

autonomous ★★★★★
()
Ответ на: комментарий от lemanyk

Главная уязвимость всех систем - наивность и лень, а еще и жадность владельцев систем и коллективных хостингов.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от special-k

Дык есть скрипты уже такие, смотри рецепты для Cheaf или Puppet. Тока это дело не меняет. Дыры разлетаются по всем сервакам которыми из этих скриптов ставят.

zch
()
Ответ на: комментарий от KernelPanic

Конечно не взломали бы. Потому что Django уже никого не интересует, кроме некрофилов, которые на ней пишут, и думают, что это и есть счастье.

Это без фанатизма и претензий к Python. Это конкретно претензия к Django.

anonymous
()
Ответ на: комментарий от kto_tama

количество ежедневных транзакций и запросов там просто нереальное

Поясни, как это может привести ко взлому. Не к отказу в обслуживании, а ко взлому.

anonymous
()
Ответ на: комментарий от KernelPanic

Надо было на джанге пилить, тогда бы не взломали :) !

Правильная позиция. Записываем: наш человек!)))))

Но боюсь рельсоводы закидают нас за нее ссаными тряпками...

k0valenk0_igor ★★★
()

Казалось бы - примитивнейший же сайт, куда вообще там дыру можно было впихнуть.
Но тут на помощь приходят передовые технологии!

thesis ★★★★★
()
Ответ на: комментарий от k0valenk0_igor

Почему джангисты так яро защищают свое старье? Мне абсолютно неинтересно в плане Rails VS Django. Мне интересно в плане: Django VS Pyramid (или другой превосходящий в порядки во всем Python-фреймворк). Ответьте, джангисты!

anonymous
()
Ответ на: комментарий от anonymous

Покажи какой-нибудь сложный сайт, написанный на рельсях. Примеров использования django'и - куча, вот bitbacket, например. А так же мой суперблог :))!

KernelPanic
()

Хотя знаете что, я дума, не язык программирования определяет конечный продукт, а навыки самого программиста. Данная уязвимость не в укор ruby, а в укор кодерам, пилившим сайт! Но ничего, со всеми бывает:)

KernelPanic
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.