Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia

GitHub invadido para demonstrar uma vulnerabilidade no Rails

Durante o fim de semana um desenvolvedor invadiu o repositório GitHub, elemento essencial no desenvolvimento de uma série de projetos de código aberto, para demonstrar a relevância de uma vulnerabilidade existente há um bom tempo no Rails (o GitHub é em Ruby on Rails).

E a demonstração foi bem clara: ele explorou a vulnerabilidade para inserir sua própria chave pública na lista de administradores do próprio projeto Rails (hospedado no GitHub), com plenos poderes: podendo apagar o projeto, remover seu histórico, modificar o código do produto, etc. – mas ele se limitou a registrar a situação em um commit.

Os administradores do GitHub aproveitaram o alerta para corrigir a falha em seu site mas, como alerta o The H, administradores de outros sites e sistemas em Ruby on Rails podem estar sujeitos à mesma situação e farão bem em verificar. (via it.slashdot.org – “GitHub Hacked – Slashdot”)


• Publicado por Augusto Campos em 2012-03-05

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    paulo@uai.com.br (usuário não registrado) em 5/03/2012 às 4:06 pm

    depois agente mete o pau no povão que não usa SL. O cidadão disse: – “esta vulnerabilidade é importante, conserte…”

    e ninguém deu bola. infelizmente tem de tomar esta atitude para que se dê a devida importância ao problema…

    que tenham aprendido!

    José Fernando (usuário não registrado) em 5/03/2012 às 6:33 pm

    Não é uma falha do Ruby on Rails. É um recurso que, se mal utilizado, facilmente dá origem a uma falha de segurança. Entretanto, isso é conhecido há muito tempo e muito bem documentado na documentação do Ruby on Rails. Esse tipo de situação é bastante comum no PHP, que possui diversos recursos e construções que dão origem a falhas de segurança se o desenvolvedor não tiver muita cautela.

    A falha em si era do GitHub mesmo, que fez mal uso desse recurso. O problema foi de comunicação mesmo, não souberam orientar a pessoa que descobriu a falha para o local correto onde ela deveria ser reportada.

    Porfírio (usuário não registrado) em 6/03/2012 às 5:38 pm

    @José, não sou desenvolvedor, mas me cai mal essa ideia de um produto manter um recurso que tenha um alto potencial de abuso e resolver a questão apenas documentando um “cuidado com isso!”.

    Se o recurso é uma mina terrestre apenas esperando o próximo incauto cair nela (e não perceber), não deveria estar lá.

    Ou no mínimo deveria ser repensado. Ou talvez devesse existir uma ferramenta obrigatória que identifique o mal uso e dê o alarme.

    José Fernando (usuário não registrado) em 6/03/2012 às 5:59 pm

    @Porfírio, Concordo com isso, mas na prática infelizmente é muito comum. A linguagem PHP inteira tem minas terrestres desse tipo (por isso dei como exemplo).

Este post é antigo (2012-03-05) e foi arquivado. O envio de novos comentários a este post já expirou.