anastasiak2512 11 мая 2016 в 15:05

Обновление, исправляющее проблемы безопасности для всех инструментов на основе платформы IntelliJ

2 мин

11K

Блог компании JetBrains

+20

Комментарии 17

Akuma 11 мая 2016 в 16:52

Обновился. Спасибо.

Кстати, вы присылали Email по этому поводу, там вообще ничего не было сказано о самой уязвимости. Было бы неплохо в следующий раз все же добавить описание в текст сообщения.

anastasiak2512 11 мая 2016 в 17:03

Спасибо. Учтем на будущее. Мы добавили ссылку на оригинальный блог пост в текст письма, но вероятно, короткое описание следовало добавить и в само письмо тоже.

НЛО прилетело и опубликовало эту надпись здесь

anastasiak2512 11 мая 2016 в 17:02

К сожалению, проблема могла возникнуть, даже если вы просто запустили IDE.

madkite 11 мая 2016 в 23:08

Э… А можно подробнее? Когда я запускаю IDE ко мне кто-то может коннектиться? Вы про пару открытых портов на localhost или про что-то серьёзнее?

anastasiak2512 12 мая 2016 в 06:20

Когда запускается IDE, запускается и встроенный веб-сервер.

Andy_U 12 мая 2016 в 10:52

Подскажите пожалуйста:

1) С какой целью?
2) На каких портах и сетевых интерфейсах?
3) Можно ли это настроить/отключить?

Заранее спаибо.

anastasiak2512 12 мая 2016 в 11:33

Стоит для начала отметить, что обнаружив уязвимость, мы в первую очередь хотели как можно быстрее выпустить апдейты с фиксами, при этом не выключая какой-либо функциональности в IDE, что могло негативно сказаться на наших пользователях.

Встроенный сервер используется не только при web-разработке, но и для других функций, таких как:

внутренняя поддержка Git SSH
HTTP авторизация
показ документации по API вызовам в quick doc
REST API

Поэтому мы не могли просто выключить всю затронутую функциональность. Дальнейшие наши шаги подразумевают анализ того, как мы можем обойтись без использования веб сервера в тех или иных случаях, или как минимум уведомить пользователей заранее о выключениях/изменениях в такого рода возможностях.