再保险:作业恶意软件

在星期一,2018年8月13日,于10:55,耶利哥<jericho@attrition.org>写道:

板,

今年已经有越来越多的恶意软件CVE作业;特别是“恶意ruby gems”或“恶意NPM模块”。他们可能有两种品种,可能是处理也不同。第一,最近cve - 2018 - 3779:

积极支持ruby gem 5.2.0可能允许远程攻击者
系统上执行任意代码,包含所致
恶意后门。攻击者可以利用这个漏洞
系统上执行任意代码。

尚不清楚从H1报告如果这是合法的代码被后门,同样叫宝石通过分叉的项目,或宝石分布具有类似名称(我猜)。“宝石重复官方activesupport这样(没有连字符)代码,但添加一个编译扩展。”

第二种类型是一个恶意的模块与合法的模块无关,除了类似名字的意味着让人们下载它。一个例子是cve - 2017 - 16044:

“d3。js是一个恶意的模块发表目的劫持
环境变量。它已经被npm未出版。

从本质上讲,这是恶意软件,只是提供了通过一个正式库中。因为这并不代表一个漏洞的软件,这是我的理解,这将不能满足CVE的入选标准。

后门是一个弱点。我认为问题是CVE过去处理“哎呀我们犯错误”,而不是“哦,一个恶意的演员是目的”。

不管给最终用户,实际上,后门更糟因为某人肯定知道脆弱性和最有可能打算使用它。所以做这些事情需要cf,跟踪和修复受影响的人吗?是的。

我试着去想象这样一个场景:一个软件或服务用户”哦,这可开发的缺陷是一个后门,因此没有CVE,因此我们不需要调整它”,呜. .我无法想象,甚至关闭。

可以斜方明确政策吗?

谢谢你！

布莱恩

- - -

Kurt Seifried
kurt@seifried.org