Оновлення, що виправляє проблеми безпеки для всіх інструментів на основі платформи IntelliJ

Привіт, Хабр!

Звертаємо вашу увагу, що ми тільки що випустили оновлення всіх наших IDE на базі платформи IntelliJ (як нещодавно випущеної 2016.1 версії, так і старих). Причина — знайдена уразливість в самій платформі. Оновлення і патчі вже доступні.

Нам невідомо жодного випадку використання знайдених проблем, але ми настійно рекомендуємо всім нашим користувачам оновити порушені IDE як можна швидше.

Нижче читайте опис проблеми та коротку інструкцію, що робити далі.


Вразливість, пов'язана з вбудованим веб-сервером
Вбудований в IDE веб-сервер міг бути атакований з допомогою межсайтовой підробки запиту (cross-site request forgery flaw). В результаті зловмисники могли отримати доступ до локальної файлової системі користувача без його відома за допомогою сайту, створеного зловмисником.

Вразливість, пов'язана з внутрішніми викликами RPC
Недостатньо обмежена політика CORS (Cross-origin resource sharing) давала можливість зловмиснику отримати доступ до викликів внутрішнього API, даними, які зберігає IDE, а також до різної інформації про саму IDE (як то її версія), крім цього з'являлася можливість відкривати проекти.

Що робити?
Щоб встановити оновлення, запустіть 'Check for Updates' або скачайте актуальну версію потрібного вам продукту з сайту www.jetbrains.com.

Якщо ви використовуєте одну з попередніх версій, перейдіть на одну зі сторінок зі старими версіями зі списку нижче:
  • AppCode
  • CLion
  • DataGrip — будь ласка, завантажуйте останню версію з сайту продукту
  • IntelliJ IDEA
  • MPS
  • PhpStorm
  • PyCharm
  • PyCharm Edu — будь ласка, завантажуйте останню версію з сайту продукту
  • Rider — кілька днів тому ви повинні були отримати електронний лист з посиланням на скачування оновлення
  • RubyMine
  • WebStorm


Звертаємо вашу увагу, що проблема не торкнулася інші наші продукти, які не засновані на платформі IntelliJ, а саме: ReSharper, ReSharper C++, dotCover, dotMemory, dotTrace, dotPeek, TeamCity, YouTrack, Upsource і Hub.

Трохи більше деталей можна знайти на посте в нашому англомовному блозі. І, звичайно, ми раді відповісти на будь-які ваші питання в коментарях.

Дякую за розуміння!
Ваша Команда JetBrains


Джерело: Хабрахабр
  • avatar
  • 0

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.