Следы вредоносной активности на сервере загрузки Inkscape (дополнено)

22.08.2023 21:24

Разработчики дистрибутива NixOS обратили внимание на появление следов вредоносной активности на хосте media.inkscape.org, используемом для загрузки свободного векторного графического редактора Inkscape. В каталоге "/dl/resources/file/", из которого организована загрузка официальных выпусков Inkscape (/dl/resources/file/inkscape-1.3.tar.xz), появился индексный файл с формой регистрации в Online-казино, отправляющей данные на WhatsApp-номер 855717520276. Потенциально в ходе атаки могли быть скомпрометированы отдаваемые для загрузки файлы с Inkscape. Комментариев об инциденте от представителей проекта Inkscape пока нет.

При этом текст на появившейся странице написан на индонезийском языке, что может свидетельствовать о том, что проект стал жертвой типовой автоматизированной атаки на уязвимые версии программного обеспечения, обеспечивающего работу сайта "media.inkscape.org". На основном сайте www.inkscape.org используется CMS Django 2.2, но хост "media.inkscape.org" размещён на другом сервере. Последнее обновление ветки Django 2.2 (2.2.28) сформировано в апреле 2022 года и включало исправление критической уязвимости, позволявшей осуществить подстановку SQL-кода.

Дополнение: Представители проекта Inkscape сообщили, что проблемный файл index.html является следом былого инцидента - файл появился на сервере проекта очень давно и был загружен через галерею изображений, допускавшую загрузку контента всеми желающими. Данный файл давно удалён из БД ресурсов, но из-за недосмотра остался в файловой системе и продолжал зеркалироваться системой кэширования Fastly. Разработчики дополнительно проверили все файлы и подтвердили, что целостность данных не нарушена.

Также заявлено о пересмотре модели управления релизами, так как возможность загрузки произвольных файлов на сервер загрузки через галерею можно рассматривать как уязвимость. Среди прочего, посторонний мог загрузить на сервер media.inkscape.org свой tar.gz-архив с вредоносными изменениями и преподнести его как релиз (например, media.inkscape.org/dl/resources/file/inkscape-201.tar.gz). Для проверки целостности загружаемых архивов разработчики рекомендуют использовать ссылки на загрузку с официального сайта, сверять контрольную сумму с данными из GitLab и проверять цифровую подпись, созданную GPG-ключом проекта.

исправить +20 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/59642-inkscape

Ключевые слова: inkscape, hack

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.2, Аноним (2), 21:33, 22/08/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+5 +/–

2.4, Аноним (4), 21:38, 22/08/2023 Скрыто ботом-модератором [к модератору]	+9 +/–

1.6, Аноним (6), 21:53, 22/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Опять диды промахнулись с уязвимостями.

2.18, Аноним (18), 00:01, 23/08/2023 [^] [^^] [^^^] [ответить]	+12 +/–
Работает - не трогай Обновляются только смузихипстеры. Стабильность превыше всего. ... и другие мудрости трушных юниксовых админов.

3.31, mos87 (ok), 07:34, 23/08/2023 [^] [^^] [^^^] [ответить]	–3 +/–
само нопейсало само ответило

2.30, mos87 (ok), 07:33, 23/08/2023 [^] [^^] [^^^] [ответить]	–3 +/–
в FTP-то? который хипсто-корпы отовсюду выживают лол

3.41, Аноним (18), 14:02, 23/08/2023 [^] [^^] [^^^] [ответить]	+/–
Великий и прекрасный proftpd, например. Функциональность remote shell - на уровне opensmtpd.

3.53, Аноним (53), 19:31, 24/08/2023 [^] [^^] [^^^] [ответить]	+/–
Ну давай по существу Проблемы в FTP глубоко исторические и отрицать их бессмысл... большой текст свёрнут, показать

4.54, Аноним (54), 20:03, 25/08/2023 [^] [^^] [^^^] [ответить]	+/–
Забыли упомянуть про проблему с отсутствием понятия кодировки в FTP, из-за чего передача русских имен дааалеко не гарантирована :) А еще, если я не путаю, определения как передавать листинг каталога очень неопределенные, в духе "как на исходной системе так и шлем", а клиенту потом разбирай все это эвристикой. "в древние времена" ftp-серверы под всякими не-юниксоподобными системами могли слать совершенно не такого формата листинги.

2.44, Аноним (44), 15:24, 23/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Лол там давно уже одни джуны. Которые даже если захотят что-то потрогать не знают как это делать.

2.47, Аноним (47), 16:50, 23/08/2023 [^] [^^] [^^^] [ответить]

+/–

> Опять диды промахнулись с уязвимостями.

...
> Последнее обновление ветки Django 2.2 (2.2.28) сформировано в апреле 2022
> года и включало исправление критической уязвимости,

Быстро питоняши в дедушек записываются, очень вредная профессия походу :)

3.49, Аноним (18), 00:44, 24/08/2023 [^] [^^] [^^^] [ответить]	+/–
Django 2.2 released on 1 apr 2019 Но вообще, настоящий дед может и смузихипстоту поставить, главное - не обновлять по четыре года.

1.14, Аноним (14), 22:28, 22/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
джанго в своем репертуаре

1.17, Аноним (-), 23:42, 22/08/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–2 +/–

1.19, Аноньимъ (ok), 01:14, 23/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
>На основном сайте www.inkscape.org используется CMS Это какой-то позор.

2.22, Аноним (22), 05:16, 23/08/2023 [^] [^^] [^^^] [ответить]	+1 +/–
с языка сняли!

2.24, Аноним (24), 05:33, 23/08/2023 [^] [^^] [^^^] [ответить]	+7 +/–
Согласен, ведь достаточно статичного html с ссылкой на скачивание.

3.34, Аноним (34), 07:51, 23/08/2023 [^] [^^] [^^^] [ответить]	+/–
Ftp сервера хватит всем

4.37, Аноним (37), 09:17, 23/08/2023 [^] [^^] [^^^] [ответить]	+/–
захожу из файлового браузера ftp://cdimage.debian.org/

3.36, Аноним (36), 08:58, 23/08/2023 [^] [^^] [^^^] [ответить]	+/–
Или статики, сгенерированный каким-нибудь Sphinx

1.33, Аноним (34), 07:49, 23/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Нет чтобы поднять ftp сервер и выложить на него свою поделку

2.38, YetAnotherOnanym (ok), 09:44, 23/08/2023 [^] [^^] [^^^] [ответить]	+4 +/–
Типа, ftp-сервера не ломают...

3.42, Аноним (18), 14:03, 23/08/2023 [^] [^^] [^^^] [ответить]	+/–
Года до 2010 ломали, ещё как. Потом они кончились.

4.45, Аноним (44), 15:25, 23/08/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Как поддержку в браузере прекратили так и кончились.

4.46, мимо (?), 16:38, 23/08/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Полагаю, это была шутка с отсылкой к Торвальдсу.

4.52, Аноним (-), 13:10, 24/08/2023 Скрыто ботом-модератором [к модератору]	+/–

1.35, YetAnotherOnanym (ok), 08:58, 23/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> посторонний мог загрузить на сервер media.inkscape.org свой tar.gz-архив с вредоносными изменениями и преподнести его как релиз Ыыыы... какая прелесть!

2.39, Аноним (39), 10:28, 23/08/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Из новости не совсем понятно, может ли посторонний, если ему не нравится программа, просто зайти и удалить ее вместе с исходниками?

3.40, Штунц (?), 11:55, 23/08/2023 [^] [^^] [^^^] [ответить]	+/–
Потому что новость о совсем другом, чем произвольные файловые операции на сервере :)

3.50, Атон (?), 08:57, 24/08/2023 [^] [^^] [^^^] [ответить]	+/–
можно просто зайти и заменить на ту, которая нравится.

1.48, Аноним (48), 19:27, 23/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Инкскейп годится как бесплатная замена корела, но что то танк маус, что это пушка дора. А вот каких-либо годных аналогов некрософтовского экспрешн дизайна так и не появилось. Более того — даже несмотря на необфусцированный дотнет под капотом, никто не смог реверсировать и поправить пару глюков; все отмазываются высокой сложностью проекта.

1.55, Аноним (55), 11:25, 26/08/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
До фотошопа им ещё далеко.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: