GitHubがハッキングされ、何百万ものプロジェクトが変更または削除される恐れがあります

Octocat、GitHub

Web上の商用およびオープンソースソフトウェアの最大のリポジトリの1つであるGitHubがハッキングされました。週末にかけて、開発者のエゴールホマコフは、GitHubの大きな脆弱性を悪用して、彼(または基本的なハッカーのノウハウを持つ人)が、Ruby on Rails、Linux、および何百万ものプロジェクトへの管理者アクセスを取得できるようにしました。ホマコフは、jQuery、Node.js、Reddit、Redisなどのプロジェクトの履歴全体を削除できた可能性があります。

2008年のリリース以来、GitHubはCodeplexなどの競合他社を急速に上回り、使用するメトリックによっては、長年の既存のSourceforgeをしのいでいます。本質的に、GitHubはLinus TorvaldsのGitリビジョン管理システム(彼が最初にLinux開発を支援するために書いたもの)のWebベースのラッパーですが、GitHubの印象的なものになっているフィード、友達、トレンドなどのソーシャルネットワーク機能の追加です。成長。最終的に、GitHubを使用すると、開発者のコ​​ラボレーションが非常に簡単かつ高速になります。さらに、オープンソースプロジェクトは無料で利用できます。その結果、わずか140万人の開発者がわずか3年間でこのサービスに魅了され、230万以上のリポジトリが作成されました。のリスト GitHubの最もフォークされたプロジェクト オープンソースプロジェクトの成功者である現代人のように読まれます。



ただし、そのサイズと重要性にもかかわらず、GitHubはこれまでハッキングされたことはありません。 GitHubはRuby on Railsアプリケーションフレームワークを使用しており、Railsは、いわゆる 一括割り当ての脆弱性 長年。基本的に、ホマコフはこの脆弱性を利用して彼の公開鍵をGitHubのRailsプロジェクトに追加しました。つまり、GitHubは彼をプロジェクトの管理者として識別しました。ここから、彼はWebからプロジェクト全体を削除するなど、効果的に何でもできます。代わりに、彼は投稿しました かなりコミカルなコミット。 GitHubは即座にホマコフを一時停止し、穴を修正し、「活動を確認した」後、彼は復職しました。



ホマコフGitHubハックGitHubが状況を処理する方法を脇に置いて(迅速かつaplombで)、主な問題は、GitHubがおそらく存在していた非常にシンプルで有名なRailsハックに対して脆弱だったことです サイトの創設以来。 Rubyの専門家は マイケル・ハートル そして エリック・チャプウェスケ GitHubが最初にリリースされた2008年から、大量割り当ての脆弱性について執筆(および警告)しています。つまり、Egor Homakovがこの方法でGitHubを利用した最初の人物ではなかった可能性が高いです。大規模なプロジェクトが突然削除されたとしたら聞いたことがあるでしょうが、ハッカーがコードベースを自分たちの悪質な目的のために静かに変更しているのかもしれません。

今後は、GitHub 難読化したことを謝罪しました ホワイトハッカーがセキュリティの脆弱性をどのように開示し、問題を報告するかを明確にリストする新しいヘルプページをセットアップする方法。 GitHubは、37signalの人気のWebアプリケーション(BasecampとCampfire)と並んで、おそらくWeb上のRuby on Railsの最大の展開です。昨年のテクノロジー企業に対する有名なハックの長いシリーズの後、 ソニーRSALastPass、そしてGoogleにとって、GitHubが脆弱であったことは驚くに値しないでしょう。しかし、それが非常に多くの重要なプロジェクトが依存しているサービスである場合、セキュリティ監査で古くからある脆弱性が発見されなかったのは衝撃的です。 GitHubがセキュリティ監査を実行する場合、それはそうです。



ホマコフによって使用された脆弱性についての議論のために、 彼の個人ブログを見る そして Chris Ackyのブログ

Copyright © 全著作権所有 | 2007es.com