Tags:
Node Thumbnail

GitHub เว็บฝากซอร์สโค้ดชื่อดังโดนแฮ็กเข้าเสียแล้ว โดยผ่านช่องโหว่ของโค้ดที่เขียนด้วย Ruby on Rails

เรื่องนี้จะซับซ้อนกว่าการแฮ็กทั่วๆ ไปอยู่สักหน่อย เพราะผู้ใช้ชื่อ homakov ได้แจ้งข่าวกับทีมงานของ GitHub ไปเมื่อ 3 วันก่อนว่าพบช่องโหว่ในระบบ ซึ่งทั้งสองฝ่ายก็ทำงานร่วมกันเพื่อปิดช่องโหว่นี้จนสำเร็จ

อย่างไรก็ตาม วันนี้ homakov พบช่องโหว่ใหม่และไม่แจ้งทาง GitHub เหมือนคราวก่อน (หรือแจ้งข่าวแต่ GitHub ไม่รับฟัง อันนี้ไม่มีใครรู้ได้) เขาเลยแฮ็กระบบโดยแทรก public key ของเขาเข้ามาในรายการรับรองของระบบ และเพิ่มไฟล์ใหม่ 1 อันเข้ามาใน GitHub ของโครงการ Ruby on Rails (ลิงก์ -- ตอนที่เขียนข่าวนี้ไฟล์ยังอยู่) เพื่อแสดงให้เห็นว่าเขาแฮ็กระบบได้

GitHub ได้แบนผู้ใช้รายนี้ไปชั่วคราวเพื่อตรวจสอบ และขอความร่วมมือให้ผู้ใช้รายอื่นๆ เข้ามาตามช่องทางมาตรฐานจะดีกว่า

ที่มา - GitHub (1), GitHub (2)

Get latest news from Blognone

Comments

By: BLiNDiNG
AndroidUbuntuWindowsIn Love
on 5 March 2012 - 22:36 #391255
BLiNDiNG's picture

บางทีก็อาจจะอยากสร้างชื่อก็ได้นะครับ เผื่อบริษัทอื่นจะสนใจ

ไม่ได้ทำอะไรเสียหายเลยนี่นา

By: anu
Contributor
on 5 March 2012 - 22:37 #391257

ตามลิงค์นี้ https://github.com/blog/1069-responsible-disclosure-policy ระบุว่าได้ระงับการใช้งานของ @homakov ชั่วคราวนะครับ ตรวจสอบแล้วไม่พบการกระทำที่ประสงค์ร้ายก็ใช้งานได้เหมือนเดิมแล้ว

By: Sikachu
ContributoriPhoneIn Love
on 5 March 2012 - 23:30 #391274
Sikachu's picture

ข่าวผิดนะครับ มันเป็นช่องโหว่ของการไม่ตรวจสอบรายการ (whitelist) parameter ที่รับเข้ามาครับ ทำให้มีช่องโหว่สามารถโดน XSS ได้ ซึ่งเป็นความผิดพลาดของทาง GitHub เองที่ไม่เขียนโค้ดให้ปลอดภัยครับ เพราะจริงๆ Rails มี configuration นี้มานานมากแล้ว แล้วก็ย้ำนักย้ำหนาเรื่องความสำคัญของมัน แต่ทาง GitHub ไม่ได้เปิดใช้งานครับ

ตอนนี้ทาง Rails Core Team เลยแก้ไขค่า default ให้นักพัฒนาต้องทำการ whitelist parameters ที่เข้ามาในรุ่นถัดๆ ไปแล้วครับ


บล็อกของผม: http://sikachu.com

By: mk
FounderAndroid
on 6 March 2012 - 10:08 #391388 Reply to:391274
mk's picture

แก้ตามนั้นครับ

By: pe3z
Writer
on 6 March 2012 - 01:39 #391303

เห็น How-To จากเจ้าตัวแว๊บๆ

By: marshazz
AndroidUbuntu
on 6 March 2012 - 09:02 #391335 Reply to:391303

ดูแล้วคล้ายๆ พวก injection ไม่เคยลอง RoR

By: caznova
AndroidRed HatUbuntuWindows
on 6 March 2012 - 11:23 #391461
caznova's picture

เพราะครั้งแรกไม่จ่ายเงินให้เหรอ ? ครั้ง สองเลยจัดเลย