研究人员发现 Rack::Static 漏洞,可能导致 Ruby 服务器数据泄露
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了Ruby网络服务器接口Rack中的三个安全漏洞。若被成功利用,攻击者可在特定条件下未授权访问文件、注入恶意数据并篡改日志。 网络安全厂商OPSWAT标记的漏洞如下: CVE-2025-27610(CVSS评分:7.5):路径遍历漏洞,攻击者若确定文件路径,可访问指定根目录下的所有文件。 CVE-2025-27111(CVSS评分:6.9):对回车换行符(CRLF)序列的不当中和及日志输出过滤漏洞,可操纵日志条目并扭曲日志文件。 CVE-2025-25184(CVSS评分:5.7):对CRLF序列的不当中和及日志输出过滤漏洞,可篡改日志条目并注入恶意数据。 成功利用这些漏洞可使攻击者掩盖攻击痕迹、读取任意文件并注入恶意代码。 OPSWAT在提供给《The Hacker News》的报告中称:“CVE-2025-27610尤其严重,未认证攻击者可借此获取配置文件、凭证等敏感信息,导致数据泄露。”该漏洞源于托管静态内容(如JavaScript、样式表、图片)的中间件Rack::Static未清理用户提供的路径。当:root参数未明确定义时,Rack默认将当前工作目录(Dir.pwd)设为网络根目录。若:root与:urls配置不当,攻击者可通过路径遍历访问敏感文件。 缓解措施包括升级至最新版本、移除Rack::Static的使用,或确保root:指向仅含公开文件的目录。 与此同时,Infodraw媒体中继服务(MRS)被发现存在关键漏洞(CVE-2025-43928,CVSS评分:9.8),攻击者可通过登录页用户名参数的路径遍历漏洞读取或删除任意文件。 Infodraw是以色列移动视频监控解决方案提供商,其设备被多国执法部门、私家调查、车队管理及公共交通用于传输音视频和GPS数据。安全研究员Tim Philipp Schäfers表示:“该漏洞允许未认证攻击者读取系统任意文件(例如使用用户名’../../../../’),且存在任意文件删除漏洞。”该漏洞影响MRS的Windows和Linux版本,目前未修复。比利时与卢森堡的受影响系统已下线。 Schäfers建议:“受影响组织应立即将应用下线(因厂商未提供补丁且漏洞可能被近期利用)。若无法下线,需通过VPN或IP白名单加强防护。” 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
开发者移除 11 个 Ruby 库中 18 个带有后门的版本
RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本,这些版本包含了后门机制,可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中,rest-client 是一个非常流行的 Ruby 库。 这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制,允许攻击者将 cookie 文件发送回受感染对象,并允许攻击者执行恶意命令。研究者调查后发现,这种机制被用于挖矿。 除了 rest-client,还有其它 10 个 Ruby 库也中招,但它们都是通过使用另一个功能齐全的库添加恶意代码,然后以新名称在 RubyGems 上重新上传而创建的。 研究人员分别统计了这些恶意版本在被移除前被下载的次数,一共被下载了三千多次,其中 rest-client 1.6.13 被下载了一千多次: rest-client:1.6.10(下载 176 次),1.6.11(下载 2 次),1.6.12(下载 3 次)和 1.6.13 (下载 1061 次) bitcoin_vanity:4.3.3(下载 8 次) lita_coin:0.0.3(下载 210 次) 即将推出:0.2.8(下载211次) omniauth_amazon:1.0.1(下载 193 次) cron_parser:0.1.4(下载 2 次),1.0.12(下载 3 次) )和 1.0.13(下载 248 次) coin_base:4.2.1(下载 206 次)和 4.2.2(下载 218 次) blockchain_wallet:0.0.6(下载 201 次)和 0.0.7(下载 222 次) awesome-bot:1.18.0(下载 232 次) doge-coin:1.0.2(下载 213 次) capistrano-colors:0.5.5(下载 175 次) 安全起见,建议在依赖关系树中删除这些库版本,或者升级/降级到安全版本,详情查看: https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie (稿源:开源中国,封面源自网络。)
11 个 Ruby 库被植入挖矿后门代码 删除前已被下载 3584 次
RubyGems 工作人员表示,他们已经移除了 18 个包含后门机制的恶意版本 Ruby 库。自 7 月 8 日以来,其已被下载 3584 次。如剔除同一库的不同版本,则有 11 个 Ruby 库被污染。这些 Ruby 库被软件包存储库的恶意维护者破解并植入了后门代码,可在其他人启用的 Ruby 项目中开展隐匿的加密货币挖掘任务。 (图自:GitHub,via ZDNet) 昨天,人们在四个版本的 rest-client 中首次发现。作为一个相当流行的 Ruby 库,荷兰开发人者 Jan DIntel分析称: 恶意代码会收集受感染系统的 URL 和环境变量,并将之发送到位于乌克兰的远程服务器。 根据用户的设置,这可能包括当前使用的服务凭证,数据库和支付服务提供商都该倍加小心。 此外,代码包含了一个后门机制,允许攻击者将 cookie 文件发送回受感染的项目中,并执行恶意命令。 RubyGems 工作人员在后续的一次调查中发现,这种机制被滥用并植入了加密货币的挖矿代码,然后又在另外 10 个项目中发现了类似的代码。 据悉,除了 rest-clint 之外的所有库,都调用了另一个功能齐全的库来添加恶意代码,然后以新名称在 RubyGems 重新上传以实现创建。 受影响的 11 个库名如下(具体版本号请移步至官网公告查看 / GitHub 传送门): rest-clint、bitcoin_canity、lita_coin、coming-soon、omniauth_amazon、cron_parser、coin_base、blockchain_wallet、awesome-bot、doge-coin、以及 capistrano-colors 。 遗憾的是,这个隐匿的计划已经活跃了一个多月,结果期间一直未被他人发现。 直到黑客设法访问其中一位客户端开发人员的 RubyGems 账户时,人们才惊觉其在 RubyGems 上推送了四个恶意版本的 rest-clint 。 最终,在所有 18 个恶意库版本被 RubyGems 删除之前,其已经累积了 3584 次下载。 在此,官方建议在关系树中对这些库有依赖的项目开发者,务必采取相应的升级或降级措施,以用上相对安全的版本。 (稿源:cnBeta,封面源自网络。)
GitHub 安全警告计划已检测出 400 多万个漏洞
Github 去年推出的安全警告,极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务,可以搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞,消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法,目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中,有将近一半的在一周之内得到了响应,前7天的漏洞解决率大约为 30%。实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去 90 天中有贡献的库,98% 的库在 7 天之内打上了补丁。 这个安全警报服务会扫描所有公共库,对于私有库,只扫描依赖图。每当发现有漏洞,库管理员都可以收到消息提示,其中还有漏洞级别及解决步骤提供。 安全警告服务现在只支持 Ruby 和 JavaScript,不过 Github 表示 2018 年计划支持 Python。 稿源:cnBeta、开源中国,封面源自网络;