RubyGemパッケージrest-client、バックドア含むバージョン立て続けに公開

2019年8月25日 20:17

小

中

大

印刷

記事提供元:スラド

 RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713The Registerの記事CVE-2019-15224)。

不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。

不正アクセスを受けたメインテナーのHacker Newsへの投稿によると、RubyGems.orgアカウントと他サービスでパスワードを共有しており、そのパスワードは他サービスから漏洩していたという。RubyGems.orgアカウントは10年以上前に作成したもので、最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかったとのこと。攻撃の流れとしては、価値の高いターゲットライブラリを選んでアカウント名を取得し、流出パスワードのリストと照合したとの見方を示している。

RubyGems.orgは影響を受けるバージョンをすべて公開停止し、1.6.9と同じ内容の1.6.14を新バージョンとしてリリースしている。さらに、二要素認証の使用などメインテナーに求めるセキュリティプラクティスの確立や、アクティブなメインテナーの維持に関するポリシーの導入などを計画しているとのこと。なお、これに関連して不正なコードを含むパッケージが多数見つかり、すべて公開停止となっている。

RubyGems.orgアカウントへの不正アクセスとしては、3月にバックドアを含むbootstrap-sass 3.2.0.3が公開されたことがスラドでも話題になったが、6月にもバックドアを含むstrong_password 0.0.7が公開されていたとのことだ。不正アクセスを受けたstrong_passwordのオーナーも他サービスで流出した古いパスワードの使用していた点や最近活動していなかった点など、rest-clientのメインテナーと状況が似通っている。

 スラドのコメントを読む | セキュリティセクション | Ruby | セキュリティ | デベロッパー

 関連ストーリー:
バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 2019年04月07日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日

※この記事はスラドから提供を受けて配信しています。

関連キーワードセキュリティバックドアRuby

広告

写真で見るニュース

  • (画像: ブルーパドルの発表資料より)
  • 東急プラザ渋谷のイメージ(東急不動産発表資料より)
  • MINIの生誕60周年記念特別仕様車「MINI 60 YEARS EDITION」。(画像: ビー・エム・ダブリューの発表資料より)
  • 惑星探査機カッシーニからみた土星 (c) NASA
  • 広島駅ビルの外観イメージ(JR西日本発表資料より)
  • スマート・EQ Fortwo(画像: ダイムラーの発表資料より)
  • (c) 123rf
 

広告

ピックアップ 注目ニュース