xrpq2y OTExNjkwODUy

A napokban egy orosz hackernek sikerült végzetes biztonsági rést találnia az utóbbi idők legnépszerűbb webes közösségi kódtárán, a GitHub-on. A gyakorlatilag minden a szájton vezetett projekthez korlátlan hozzáférést lehetővé tevő biztonsági rést a Ruby on Rails 3.1-es verziójában bevezett újítás ütötte az oldalon - de az üzemeltetők is sárosak, hogy nem javították időben a sebezhetőséget.

A GitHub egyetlen szerencséje, hogy a felfedező az egyébként nyilvánvalóan rendkívüli súlyú sebezhetőséget semmi rosszra nem használta fel, hanem mindössze csak pár mókás bejegyzést hozott létre segítségével. A szájt üzemeltetői azonban ahelyett, hogy vették volna a lapot az oldal sérülékenységéről, egyszerűen kitiltották a felfedezőt - úgy beállítva a történteket, mintha sikeresen hárítottak volna el egy támadást a szájttal szemben.

A teljes történet itt olvasható. A sebezhetőséget egyébként azóta lezárták, de a Rail fejlesztőknek érdemes lehet a történtek tekintetében saját alkalmazásaikat is megvizsgálniuk, ami szintén sebezhetők lehetnek a "mass alignment vulnerability" révén.