流行 Ruby 库曝出恶意后门代码,作者未知

h4cd
 h4cd
发布于 2019年04月06日
收藏 2

流行的 Ruby 库 Bootstrap-Sass 曝出后门代码。

Bootstrap-Sass 是一个流行的 Ruby UI 框架,它为开发人员提供了一个 Sass 版本的 Bootstrap。据 ZDNet 的报导,上周三,开发者 Derek Barnes 在该库 3.2.0.3 版本中发现后门代码,这一小段具有恶意性质的代码如上图所示,它嵌入 Ruby 或 Ruby on Rails 之后,会加载一个 cookie 文件并执行其内容。   

据统计,虽然 Bootstrap-Sass 的安装量达到 2800 万,但是此后门版本仅有 1477 次安装,因为该库的最新版本是 3.4.1,而很少有开发者在使用旧版本分支,这一点提供了有效的安全保障。

报告公开的同一天该后门已经从 RubyGems 中删除,Bootstrap-Sass 团队还撤销了对 RubyGems 的访问权限,因为开发人员认为他们的帐户遭到入侵并被用来推送恶意代码

此外,RubyGems 和 GitHub 上也发布了 Bootstrap-Sass v3.2.0.4 版本,完全删除了后门的相关内容。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:流行 Ruby 库曝出恶意后门代码,作者未知
加载中

精彩评论

左华栋
左华栋

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.

引用来自“左华栋”的评论

Ruby on Rails 是 spring AOP 的先祖

引用来自“zjh6”的评论

意思,就是垃圾被淘汰了,是不?

引用来自“左华栋”的评论

github 也是基于ror开发的。
没得聊,再见。

引用来自“zjh6”的评论

别生气,别生气.开句玩笑.我的意思是ruby,性能不好.少沾为妙.
twitter好像开始也是用ror开发的.不过是先出成果,有影响了,就替换了.都是一样的.这个东西,怎么样都是要淘汰的东西.
ruby 主要还是跟作者有关,作者太想做个让开发者爽的语言了。结果很多开发者还是在乎性能。后来甚至还出了个 语法类似 ruby 的编译型语言。

最新评论(9

开源中国最帅没有之一
开源中国最帅没有之一
评论真搞笑
J
Jason909

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.

引用来自“左华栋”的评论

Ruby on Rails 是 spring AOP 的先祖

引用来自“zjh6”的评论

意思,就是垃圾被淘汰了,是不?

引用来自“左华栋”的评论

github 也是基于ror开发的。
没得聊,再见。

引用来自“zjh6”的评论

别生气,别生气.开句玩笑.我的意思是ruby,性能不好.少沾为妙.
twitter好像开始也是用ror开发的.不过是先出成果,有影响了,就替换了.都是一样的.这个东西,怎么样都是要淘汰的东西.

引用来自“左华栋”的评论

ruby 主要还是跟作者有关,作者太想做个让开发者爽的语言了。结果很多开发者还是在乎性能。后来甚至还出了个 语法类似 ruby 的编译型语言。
crystal lang?
z
zjh6

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.

引用来自“左华栋”的评论

Ruby on Rails 是 spring AOP 的先祖

引用来自“zjh6”的评论

意思,就是垃圾被淘汰了,是不?

引用来自“左华栋”的评论

github 也是基于ror开发的。
没得聊,再见。

引用来自“zjh6”的评论

别生气,别生气.开句玩笑.我的意思是ruby,性能不好.少沾为妙.
twitter好像开始也是用ror开发的.不过是先出成果,有影响了,就替换了.都是一样的.这个东西,怎么样都是要淘汰的东西.

引用来自“左华栋”的评论

ruby 主要还是跟作者有关,作者太想做个让开发者爽的语言了。结果很多开发者还是在乎性能。后来甚至还出了个 语法类似 ruby 的编译型语言。
日本人嘛,要懂得起,脑袋缺少一根筋的.
左华栋
左华栋

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.

引用来自“左华栋”的评论

Ruby on Rails 是 spring AOP 的先祖

引用来自“zjh6”的评论

意思,就是垃圾被淘汰了,是不?

引用来自“左华栋”的评论

github 也是基于ror开发的。
没得聊,再见。

引用来自“zjh6”的评论

别生气,别生气.开句玩笑.我的意思是ruby,性能不好.少沾为妙.
twitter好像开始也是用ror开发的.不过是先出成果,有影响了,就替换了.都是一样的.这个东西,怎么样都是要淘汰的东西.
ruby 主要还是跟作者有关,作者太想做个让开发者爽的语言了。结果很多开发者还是在乎性能。后来甚至还出了个 语法类似 ruby 的编译型语言。
z
zjh6

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.

引用来自“左华栋”的评论

Ruby on Rails 是 spring AOP 的先祖

引用来自“zjh6”的评论

意思,就是垃圾被淘汰了,是不?

引用来自“左华栋”的评论

github 也是基于ror开发的。
没得聊,再见。
别生气,别生气.开句玩笑.我的意思是ruby,性能不好.少沾为妙.
twitter好像开始也是用ror开发的.不过是先出成果,有影响了,就替换了.都是一样的.这个东西,怎么样都是要淘汰的东西.
左华栋
左华栋

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.

引用来自“左华栋”的评论

Ruby on Rails 是 spring AOP 的先祖

引用来自“zjh6”的评论

意思,就是垃圾被淘汰了,是不?
github 也是基于ror开发的。
没得聊,再见。
z
zjh6

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.

引用来自“左华栋”的评论

Ruby on Rails 是 spring AOP 的先祖
意思,就是垃圾被淘汰了,是不?
左华栋
左华栋

引用来自“zjh6”的评论

ruby ,就是垃圾的意思.
Ruby on Rails 是 spring AOP 的先祖
z
zjh6
ruby ,就是垃圾的意思.
返回顶部
顶部