mboost-dp1

David Heinemeier Hansson

Indstilling i Ruby on Rails resulterer i sårbarhed på GitHub

- Via Github - , redigeret af OnkelDunkel , indsendt af arne_v

En indstilling i Ruby on Rails, der kører kodedelingstjenesten GitHub, tillod brugere at tilføje kode, ved at udnytte en exploit kaldet “mass assignment vulnerability” i projekter denne ikke havde tilladelse til.

En russisk udvikler ved navn Egor Homakov tilføjede kode i tre projekter, herunder Ruby on Rails, som han ikke havde tilladelse til, for at gøre opmærksom på problemet. Det førte til, at Homakov fik sin konto midlertidigt suspenderet. Han udtaler, på sin blog:

http://homakov.blogspot.com/2012/03/im-disappoint-github.html skrev:
Github, I am dissapoint.

GitHub lover, at problemet er løst og at de vil tage øgede forbehold for at sikre, at en sådan sårbarhed ikke udnyttes igen.





Gå til bund
Gravatar #1 - csstener(^,^)
8. mar. 2012 17:48
Jammen det var da godt at i fandt fejlen.
Gravatar #2 - Hack4Crack
8. mar. 2012 18:50
argh, troede lige det var et pisse fedt indiespil :(
Gravatar #3 - el_barto
8. mar. 2012 21:29
In Soviet Russia, machine hacks you.
Gravatar #4 - KaW
8. mar. 2012 21:31
Ikke rigtigt RoR's fejl, det er Github der har lavet en fejl og gjort nogen ting der var imod best practice.
Gravatar #5 - tommyhj
8. mar. 2012 21:34
Synes altid RoR nyheder er sjove fordi de ikke giver mening for langt de fleste nørder (inkl. mig) :)
Gravatar #6 - KaW
8. mar. 2012 22:54
tommyhj (5) skrev:
Synes altid RoR nyheder er sjove fordi de ikke giver mening for langt de fleste nørder (inkl. mig) :)

Hvordan kan du kalde dig nørd, når du ikke forstå det? ;)
Gravatar #7 - cryo
9. mar. 2012 01:03
KaW (4) skrev:
Ikke rigtigt RoR's fejl, det er Github der har lavet en fejl og gjort nogen ting der var imod best practice.


Omend en feature (mass assignment) som "ofte" fører til fejl af denne type, måske ikke er optimalt designet.
Gravatar #8 - cgt
9. mar. 2012 03:52
Newz.dk er godt nok sent paa den denne gang.
Gravatar #9 - Mnc
9. mar. 2012 07:37
cgt (8) skrev:
denne gang


You must be new here...
Gravatar #10 - zin
9. mar. 2012 07:43
#9: Indeed. Fem dage er faktisk ret godt for Newz. Men OK, det krævede også at jeg skrev nyheden. :-P
Gravatar #11 - cgt
9. mar. 2012 08:19
Newz.dk er altid bagefter, men det plejer da at gaa lidt hurtigere.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login