События компании
Новинки в мире

События компании

Русский программист поломал GitHub с помощью трехлетней уязвимости


Строго говоря, уязвимость "mass assignment" в Ruby on Rails, с помощью которой программист из Питера Егор Хомяков поразвлекался на этих выходных с популярным сервисом GitHub, известна аж с сентября 2008 года. Но все равно получилось неплохо.

Сначала Егор добавил сообщение об уязвимости в репозиторий Rails. Администраторы удалили ветку с обсуждением, после чего он открыл тикет заново, только чтобы опять остаться проигнорированным. Далее он воспользовался этой самой уязвимостью, чтобы добавить свой публичный ключ в проект Rails, записав себя в администраторы проекта. Апофеозом истории стал пост от имени Бендера из 3012 года.

Спохватившиеся администраторы поначалу заблокировали аккаунт Хомякова, но чуть позже справедливость восторжествовала - аккаунт разблокировали, а уязвимость прикрыли. Открытым остается лишь вопрос, сколько раз GitHub успели поломать за последние годы, и в какое количество проектов внесли изменения по-тихому.

Источник: http://bugtraq.ru, http://www.theregister.co.uk



11 Марта 2012

Версия для печати

Вернуться к полному списку новостей