TTO - GitHub, một trong những kho lưu trữ trực
tuyến các dự án phần mềm nguồn mở và thương mại lớn nhất đã bị
hack. Ruby on Rails, Linux, jQuerry, Reddit và hàng triệu dự án lớn khác
đều gặp nguy.
 |
| GitHub, nơi lưu trữ nhiều triệu dự án mã nguồn mở lẫn thương mại - Ảnh: Internet |
Lập trình viên tên Egor Homakov
đã khám phá một lỗi bảo mật trong hệ thống GitHub, có thể bị khai thác
một cách dễ dàng để chiếm quyền quản trị viên (administrator) truy xuất
đến những dự án, bao gồm cả những dự án lớn như Ruby on Rails. Thậm chí
Homakov đã có thể xóa toàn bộ bản ghi lược sử quá trình phát triển của
các dự án như jQuerry, Node.js, Redis...
Kể từ khi thành lập vào năm 2008, GitHub đã nhanh chóng vượt qua các đối thủ như Codeplex và qua mặt cả "ông lớn" SourceForge.
GitHub có thêm những tính năng mạng xã hội, cho phép theo dõi các luồng
cập nhật mới, bạn bè và xu hướng mới. Quan trọng hơn cả, GitHub là
dự án hoàn toàn miễn phí, giúp các lập trình viên có thể phối hợp với
nhau dễ dàng và nhanh chóng. Do đó, chỉ trong 3 năm, GitHub đã có hơn
1,4 triệu lập trình viên trên toàn cầu tham gia, tạo ra hơn 2,3 triệu
hạng mục.
Mặc dù có tầm cỡ và phạm vi ảnh hưởng lớn nhưng GitHub
chưa bao giờ bị hack cho đến bây giờ. GitHub sử dụng khung ứng dụng Ruby
on Rails, đây là yếu điểm vì Rails có những lỗ hổng được công bố trong
vài năm qua.
Homakov đã lợi dụng lỗ hổng, nạp "chìa khóa mở cổng"
của mình vào dự án Rails trên GitHub. Theo đó, GitHub sẽ nhận diện
Homakov là một quản trị viên của dự án, và kế tiếp Homakov có quyền hạn
thực thi mọi thứ, bao gồm xóa toàn bộ dự án trên web. Tuy nhiên, Homakov
chỉ đưa ra thông báo đến GitHub để khắc phục lỗ hổng nguy hiểm này.
 |
| Egor Homakov thử nghiệm khai thác lỗi trên GitHub - Ảnh: Internet |
Những chuyên gia bảo mật tỏ ra rất lo ngại về sự kiện
trên. Nếu các hacker không thông báo lỗi như Homakov mà âm thầm nhúng mã
độc vào các tập tin hay hiệu chỉnh mã nguồn dự án, gây hại cho hàng
chục triệu người dùng tải về sử dụng thì mức độ nguy hiểm sẽ nghiêm
trọng hơn rất nhiều và phạm vi ảnh hưởng sẽ rất lớn, sự lây nhiễm sẽ
không bao giờ ngừng lại.
Ruby on Rails cập nhật bản vá lỗi
Sau ba ngày kể từ khi hệ thống GitHub bị xâm nhập, khung ứng dụng web Ruby on Rails đã được cập nhật lên phiên bản 3.2.2
để khắc phục những lỗi đã được Egor Homakov thông báo. Những người dùng
được khuyến cáo nên cập nhật lên phiên bản mới nhất, cụ thể người dùng
Rails 3.0 sẽ có bản 3.0.12 còn Rails 3.1 sẽ cập nhật bản 3.1.4.
Rails 3.2.2 có thể tải về qua RubyGem. Tham khảo những điểm thay đổi từ bản Rails 3.2.1 lên 3.2.2Theo tuoitre.vn
Không có nhận xét nào:
Đăng nhận xét