【每日安全资讯】流行 Ruby 库曝出恶意后门代码，始作俑者未知

流行的 Ruby 库 Bootstrap-Sass 曝出后门代码。Bootstrap-Sass 是一个流行的 Ruby UI 框架，它为开发人员提供了一个 Sass 版本的 Bootstrap。据 ZDNet 的报导，上周三，开发者 Derek Barnes 在该库 3.2.0.3 版本中发现后门代码，这一小段具有恶意性质的代码如上图所示，它嵌入 Ruby 或 Ruby on Rails 之后，会加载一个 cookie 文件并执行其内容。

据统计，虽然 Bootstrap-Sass 的安装量达到 2800 万，但是此后门版本仅有 1477 次安装，因为该库的最新版本是 3.4.1，而很少有开发者在使用旧版本分支，这一点提供了有效的安全保障。

报告公开的同一天该后门已经从 RubyGems 中删除，Bootstrap-Sass 团队还撤销了对 RubyGems 的访问权限，因为开发人员认为他们的帐户遭到入侵并被用来推送恶意代码。

此外，RubyGems 和 GitHub 上也发布了 Bootstrap-Sass v3.2.0.4 版本，完全删除了后门的相关内容。

*来源：开源中国

更多资讯

◈ 联合国专家：希望不要将阿桑奇逐出厄瓜多尔大使馆

联合国酷刑问题报告员称，如果厄瓜多尔选择将维基解密创始人朱利安·阿桑奇驱逐出自家大使馆，那当事人或面临“极度脆弱”的风险。尼尔斯·梅尔泽（Nils Melzer）周五表示，他对此事感到震惊，希望能亲手调查这个案子。其在一份新闻稿中称：“如果在引渡期间缺乏适当的保障程序，阿桑奇可能在被逐出厄瓜多尔大使馆后面临权利被严重侵犯的风险”。

来源：cnBeta.COM

详情：http://t.cn/E6ZwsTJ

◈ 友讯路由器 DNS 流量遭黑客劫持

过去三个月，黑客组织利用友讯科技等公司路由器固件的已知漏洞，悄悄修改路由器的 DNS 设置，在用户访问合法网站时返回会错误的 IP 地址，将其重定向到钓鱼网站，窃取登陆凭证。

来源：solidot.org

详情：http://t.cn/E6ZAhit

◈ 新版个人征信报告将上线 拖欠水费也可能影响信用 加快个人信息保护立法

央行新版个人征信报告采集信息将更细化、更全面、更精准。人们在日常生活中应更为注意维护个人信用状况，因为当申请贷款时，无论是房贷、车贷还是消费贷款，金融机构大多数都先会去查看个人征信报告。征信报告上一旦留下负面记录，就可能会对信贷获批造成影响

来源：新华网

详情：http://t.cn/E6ZAZI9

◈ 湖北一公职人员泄露公民信息5万余条 获利23万

张某原本就职于某工商局，2017年4月以来，为谋取非法利益，利用职务便利在大数据分析平台上查询并下载了大量企业登记的公民个人信息，包括企业名称、法人代表姓名、电话号码等，后通过在网上QQ聊天寻找购买工商登记注册信息的“买家”，并通过QQ将企业登记的公民个人信息发送给客户。

来源：澎湃新闻

详情：http://t.cn/E6ZA28R

（信息来源于网络，安华金和搜集整理）