anastasiak2512 May 11 2016 at 18:05

Обновление, исправляющее проблемы безопасности для всех инструментов на основе платформы IntelliJ

2 min

11K

JetBrains corporate blog

+20

Comments 17

Akuma May 11 2016 at 19:52

Обновился. Спасибо.

Кстати, вы присылали Email по этому поводу, там вообще ничего не было сказано о самой уязвимости. Было бы неплохо в следующий раз все же добавить описание в текст сообщения.

anastasiak2512 May 11 2016 at 20:03

Спасибо. Учтем на будущее. Мы добавили ссылку на оригинальный блог пост в текст письма, но вероятно, короткое описание следовало добавить и в само письмо тоже.

UFO just landed and posted this here

anastasiak2512 May 11 2016 at 20:02

К сожалению, проблема могла возникнуть, даже если вы просто запустили IDE.

madkite May 12 2016 at 02:08

Э… А можно подробнее? Когда я запускаю IDE ко мне кто-то может коннектиться? Вы про пару открытых портов на localhost или про что-то серьёзнее?

anastasiak2512 May 12 2016 at 09:20

Когда запускается IDE, запускается и встроенный веб-сервер.

Andy_U May 12 2016 at 13:52

Подскажите пожалуйста:

1) С какой целью?
2) На каких портах и сетевых интерфейсах?
3) Можно ли это настроить/отключить?

Заранее спаибо.

anastasiak2512 May 12 2016 at 14:33

Стоит для начала отметить, что обнаружив уязвимость, мы в первую очередь хотели как можно быстрее выпустить апдейты с фиксами, при этом не выключая какой-либо функциональности в IDE, что могло негативно сказаться на наших пользователях.

Встроенный сервер используется не только при web-разработке, но и для других функций, таких как:

внутренняя поддержка Git SSH
HTTP авторизация
показ документации по API вызовам в quick doc
REST API

Поэтому мы не могли просто выключить всю затронутую функциональность. Дальнейшие наши шаги подразумевают анализ того, как мы можем обойтись без использования веб сервера в тех или иных случаях, или как минимум уведомить пользователей заранее о выключениях/изменениях в такого рода возможностях.