每日安全资讯流行Ruby库曝出恶

流行的Ruby库Bootstrap-Sass曝出后门代码。Bootstrap-Sass是一个流行的RubyUI框架，它为开发人员提供了一个Sass版本的Bootstrap。据ZDNet的报导，上周三，开发者DerekBarnes在该库3.2.0.3版本中发现后门代码，这一小段具有恶意性质的代码如上图所示，它嵌入Ruby或RubyonRails之后，会加载一个cookie文件并执行其内容。

据统计，虽然Bootstrap-Sass的安装量达到万，但是此后门版本仅有次安装，因为该库的 版本是3.4.1，而很少有开发者在使用旧版本分支，这一点提供了有效的安全保障。

报告公开的同一天该后门已经从RubyGems中删除，Bootstrap-Sass团队还撤销了对RubyGems的访问权限，因为开发人员认为他们的帐户遭到入侵并被用来推送恶意代码。

此外，RubyGems和GitHub上也发布了Bootstrap-Sassv3.2.0.4版本，完全删除了后门的相关内容。

*来源：开源中国

更多资讯

?联合国专家：希望不要将阿桑奇逐出厄瓜多尔大使馆联合国酷刑问题报告员称，如果厄瓜多尔选择将维基解密创始人朱利安·阿桑奇驱逐出自家大使馆，那当事人或面临“极度脆弱”的风险。尼尔斯·梅尔泽（NilsMelzer）周五表示，他对此事感到震惊，希望能亲手调查这个案子。其在一份新闻稿中称：“如果在引渡期间缺乏适当的保障程序，阿桑奇可能在被逐出厄瓜多尔大使馆后面临权利被严重侵犯的风险”。

来源：cnBeta.COM详情：