Ruby China

安全 请马上停用 omniauth-weibo-oauth2 0.4.6 版本

never · September 21, 2019 · Last by never replied at October 14, 2019 · 7143 hits

omniauth-weibo-oauth2 的源码被污染,刚刚 (Sat, 21 Sep 2019 13:44:03 +0000) 向 RubyGems.org 推送了 0.4.6 版本,由于该 GEM 没有在 github 上留下代码,在我检查 Gem 源码时发现被植入后门:

SHA 256 CHECKSUM: 89854825a6316210931fec136e30b88f383586cf93eb8e65b1ee45143eebc2fa

@huacnlee @beenhero

huacnlee #1 September 21, 2019

再次提醒各位 Gem 作者,RubyGems 上要把两步验证开起来。

1 likes
lgn21st #2 September 21, 2019

已经联系了作者。

never #3 September 21, 2019
Reply to lgn21st

我已经删除掉 0.4.6 版本,我是其中一个合作者。当时我德国同事跟我说,引用的 gem 一定要有维护者,今天发生的事正是他担心的事。

never #4 September 21, 2019
Reply to huacnlee

多谢 @huacnlee 指导处理,我也已经开启了 OTP.

beenhero #5 September 22, 2019

@never @huacnlee @lgn21st 感谢各位及时提醒和处理,我第一时间重置了 pwd/api key, 开启了 OTP 我刚回到家看到晚上 21:38 收到「You changed your RubyGems.org email notification settings」的邮件通知,应该是我的 Rubygem 账号被侵入了。还需要再看一下有没有污染版本被使用的情况。

1 likes
never #6 September 22, 2019
Reply to beenhero

@beenhero 方便加一下微信?我的微信是 59808

never #7 September 22, 2019

我删除之前有 10 次下载,可能有部分是镜像,也因为镜像不好确定,另外你别的 gem 可能要检查一下!

never #9 September 23, 2019
Reply to ichord

之前我已经报告过,今天终于撤下了。

never #10 October 14, 2019

更新一下最新的进展,在 10/6 日,受影响的 Gem 得到了一个 CVE 号码,因此也有足够的理由作进一步处理。和 @beenhero 商量后,决定正式向对方的 ISP 报告滥用。收集了这次事件的资料,写了正式的邮件,在我另外两位小伙伴 (Kevin 和 Sophia) 的帮忙之下,在今天晚上 21:31 分,成功地将对方的服务器下线。

Ben 说如果有人因此造成实质损失,我们再通过法律途径索取对方的资料,目前保留法律追求的权利。

所以如果有小伙伴需要起诉对方,请联系我。

详细的报告请查阅 Github Issue #36

2 likes
You need to Sign in before reply, if you don't have an account, please Sign up first.