11.05.2016 15:05
anastasiak2512 16 7000 Источник
Привет, Хабр!

Обращаем ваше внимание, что мы только что выпустили обновление всех наших IDE на базе платформы IntelliJ (как недавно выпущенной 2016.1 версии, так и старых). Причина — найденная уязвимость в самой платформе. Обновления и патчи уже доступны.

Нам неизвестно ни одного случая использования найденных проблем, но мы настоятельно рекомендуем всем нашим пользователям обновить затронутые IDE как можно скорее.

Ниже читайте описание проблемы и короткую инструкцию, что делать дальше.


Уязвимость, связанная со встроенным веб-сервером


Встроенный в IDE веб-сервер мог быть атакован с помощью межсайтовой подделки запроса (cross-site request forgery flaw). В результате злоумышленники могли получить доступ к локальной файловой системе пользователя без его ведома с помощью сайта, созданного злоумышленником.

Уязвимость, связанная со внутренними вызовами RPC


Недостаточно ограниченная политика CORS (Cross-origin resource sharing) давала злоумышленнику возможность получить доступ к вызовам внутренного API, данным, которые хранит IDE, а также к различной информации о самой IDE (как то ее версия), помимо этого появлялась возможность открывать проекты.

Что делать?


Чтобы установить обновление, запустите 'Check for Updates' или скачайте актуальную версию нужного вам продукта с сайта www.jetbrains.com.

Если вы используете одну из старых версий, перейдите на одну из страниц со старыми версиями из списка ниже:
  • AppCode
  • CLion
  • DataGrip — пожалуйста, скачивайте последнюю версию с сайта продукта
  • IntelliJ IDEA
  • MPS
  • PhpStorm
  • PyCharm
  • PyCharm Edu — пожалуйста, скачивайте последнюю версию с сайта продукта
  • Rider — несколько дней назад вы должны были получить электронное письмо со ссылкой на скачивание обновления
  • RubyMine
  • WebStorm


Обращаем ваше внимание, что проблема не затронула другие наши продукты, которые не основаны на платформе IntelliJ, а именно: ReSharper, ReSharper C++, dotCover, dotMemory, dotTrace, dotPeek, TeamCity, YouTrack, Upsource и Hub.

Чуть больше деталей можно найти в посте в нашем англоязычном блоге. И, конечно, мы рады ответить на любые ваши вопросы в комментариях.

Спасибо за понимание!
Ваша Команда JetBrains
Поделиться с друзьями
-->

Комментарии (16)


  1. Akuma
    11.05.2016 19:52
    #8891392
    +1

    Обновился. Спасибо.

    Кстати, вы присылали Email по этому поводу, там вообще ничего не было сказано о самой уязвимости. Было бы неплохо в следующий раз все же добавить описание в текст сообщения.


    1. anastasiak2512
      11.05.2016 20:03
      #8891406
      +1

      Спасибо. Учтем на будущее. Мы добавили ссылку на оригинальный блог пост в текст письма, но вероятно, короткое описание следовало добавить и в само письмо тоже.


  1. mais
    11.05.2016 19:59
    #8891398

    никогда не использовал встроенный веб сервер


    1. anastasiak2512
      11.05.2016 20:02
      #8891402

      К сожалению, проблема могла возникнуть, даже если вы просто запустили IDE.


      1. madkite
        12.05.2016 02:08
        #8891740
        +1

        Э… А можно подробнее? Когда я запускаю IDE ко мне кто-то может коннектиться? Вы про пару открытых портов на localhost или про что-то серьёзнее?


        1. anastasiak2512
          12.05.2016 09:20
          #8891852

          Когда запускается IDE, запускается и встроенный веб-сервер.


          1. Andy_U
            12.05.2016 13:52
            #8892398

            Подскажите пожалуйста:

            1) С какой целью?
            2) На каких портах и сетевых интерфейсах?
            3) Можно ли это настроить/отключить?

            Заранее спаибо.


            1. anastasiak2512
              12.05.2016 14:33
              #8892464
              +2

              Стоит для начала отметить, что обнаружив уязвимость, мы в первую очередь хотели как можно быстрее выпустить апдейты с фиксами, при этом не выключая какой-либо функциональности в IDE, что могло негативно сказаться на наших пользователях.

              Встроенный сервер используется не только при web-разработке, но и для других функций, таких как:

              • внутренняя поддержка Git SSH
              • HTTP авторизация
              • показ документации по API вызовам в quick doc
              • REST API


              Поэтому мы не могли просто выключить всю затронутую функциональность. Дальнейшие наши шаги подразумевают анализ того, как мы можем обойтись без использования веб сервера в тех или иных случаях, или как минимум уведомить пользователей заранее о выключениях/изменениях в такого рода возможностях.


  1. TearOfTheStar
    11.05.2016 21:59
    #8891526
    +4

    Приятно, что даже про старушку IntelliJ IDEA 12, не забыли. Обратная поддержка это всегда хорошо. Молодцы. :)


  1. qrck13
    11.05.2016 21:59
    #8891528

    А что с Android Studio — версия на сайте гугла (143.2821654) — уже с фиксом или надо ждать, когда они раскачаются?


    1. anastasiak2512
      11.05.2016 22:02
      #8891534

      Они выпустили апдейт одновременно с нами.


      1. qrck13
        11.05.2016 22:05
        #8891542

        OK, спасибо, значит скачанное сегодня должно быть с фиксами :)


    1. artspb
      11.05.2016 22:03
      #8891538

      Все синхронизировано, апдейты здесь.


  1. vosi
    12.05.2016 04:34
    #8891762
    -4

    когда зафиксите интеграцию с беткой докера (которая с xhyve и что-там под виндой)?


  1. rsunix
    12.05.2016 09:21
    #8891856

    В этой версии Webstorm есть поддержка node js 6?


    1. enDal
      12.05.2016 09:42
      #8891876

      Да, отладка Node.js 6 исправлена