Popüler Bootstrap-Sass Ruby Kütüphanesinde Arka Kapı

Ruby ve Ruby on Rails çatısıyla geliştirilen uygulamalarda kullanılan ve popüler bir Ruby kütüphanesi olan Bootstrap-Saas kütüphanesinde arka kapı oluşturmaya yarayan zararlı bir kod bulundu.

Arka kapının varlığı, Derek Barnes adlı bir yazılım geliştiricisinin Bootstrap-Sass 3.2.0.2 sürümünün kaldırılıp yeni bir sürüm çıktığını(v3.2.0.3) fark etmesiyle 27 Mart günü ortaya çıktı.

Bac Packets adlı siber güvenlik firmasının üyelerinden birinin söylediğine göre; bu zararlı kodun bulunduğu kütüphane Ruby veya Ruby on Rails içine entegre edildiğinde bir çerez dosyası yükleyebilir ve dosyanın içeriğindekileri çalıştırabilir.

Arka kapının fark edilmesinin ardından zararlı kod hemen kaldırıldı ve Bootstrap-Sass 3.2.0.4 sürümü kullanıma sunuldu.

Bootstrap-Sass kütüphanesinin en güncel sürümünün 3.4.1 olması nedeniyle, eski bir sürüm olan 3.2.0.3’in çok az sayı kişi tarafından kullanıldığı ve bu yüzden olaydan etkilenen çok sayıda kişi olmadığına inanılıyor.

RubyGems topluluğunun resmi istatistiklerine göre olaya konu olan Bootstrap-Sass kütüphanesi şimdiye kadar ortalama 28 milyon kez indirildi. Ancak bu istatistikler arka kapının yerleştirildiği sürümü kapsamıyor ve geçmişe dayanıyor. İstatistiklere göre arka kapının yerleştirildiği sürüm 3.2.0.3 ise sadece 1.477 kere indirilmiş.

Eğer son zamanlarda Bootstrap-Sass kütüphanesinin 3.2.0.2 sürümünü indirdiyseniz yeni versiyon ile güncellemenizi öneriyoruz.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*