安全 请马上停用 omniauth-weibo-oauth2 0.4.6 版本

never · 2019年09月21日 · 最后由 never 回复于 2019年10月14日 · 2908 次阅读

omniauth-weibo-oauth2 的源码被污染,刚刚(Sat, 21 Sep 2019 13:44:03 +0000)向 RubyGems.org 推送了 0.4.6 版本, 由于该 GEM 没有在 github 上留下代码, 在我检查 Gem 源码时发现被植入后门:

SHA 256 CHECKSUM: 89854825a6316210931fec136e30b88f383586cf93eb8e65b1ee45143eebc2fa

@huacnlee @beenhero

共收到 10 条回复

再次提醒各位 Gem 作者,RubyGems 上要把两步验证开起来。

已经联系了作者。

lgn21st 回复

我已经删除掉 0.4.6 版本, 我是其中一个合作者. 当时我德国同事跟我说, 引用的 gem 一定要有维护者, 今天发生的事正是他担心的事.

huacnlee 回复

多谢 @huacnlee 指导处理, 我也已经开启了 OTP.

@never @huacnlee @lgn21st 感谢各位及时提醒和处理,我第一时间重置了 pwd/api key, 开启了 OTP 我刚回到家看到晚上 21:38 收到「You changed your RubyGems.org email notification settings」的邮件通知,应该是我的 Rubygem 账号被侵入了。还需要再看一下有没有污染版本被使用的情况。

beenhero 回复

@beenhero 方便加一下微信?我的微信是 59808

我删除之前有10次下载,可能有部分是镜像,也因为镜像不好确定,另外你别的 gem 可能要检查一下!

顺便去看了下注入代码 http://pastebin.com/raw/KVLhriWC

ichord 回复

之前我已经报告过, 今天终于撤下了.

更新一下最新的进展,在10/6日,受影响的 Gem 得到了一个 CVE 号码,因此也有足够的理由作进一步处理。和 @beenhero 商量后,决定正式向对方的 ISP 报告滥用。收集了这次事件的资料,写了正式的邮件,在我另外两位小伙伴(Kevin 和 Sophia)的帮忙之下,在今天晚上21:31分,成功地将对方的服务器下线。

Ben 说如果有人因此造成实质损失,我们再通过法律途径索取对方的资料,目前保留法律追求的权利。

所以如果有小伙伴需要起诉对方,请联系我。

详细的报告请查阅 Github Issue #36

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册