Комментарии 17
Обновился. Спасибо.
Кстати, вы присылали Email по этому поводу, там вообще ничего не было сказано о самой уязвимости. Было бы неплохо в следующий раз все же добавить описание в текст сообщения.
Кстати, вы присылали Email по этому поводу, там вообще ничего не было сказано о самой уязвимости. Было бы неплохо в следующий раз все же добавить описание в текст сообщения.
НЛО прилетело и опубликовало эту надпись здесь
К сожалению, проблема могла возникнуть, даже если вы просто запустили IDE.
Э… А можно подробнее? Когда я запускаю IDE ко мне кто-то может коннектиться? Вы про пару открытых портов на localhost или про что-то серьёзнее?
Когда запускается IDE, запускается и встроенный веб-сервер.
Подскажите пожалуйста:
1) С какой целью?
2) На каких портах и сетевых интерфейсах?
3) Можно ли это настроить/отключить?
Заранее спаибо.
1) С какой целью?
2) На каких портах и сетевых интерфейсах?
3) Можно ли это настроить/отключить?
Заранее спаибо.
Стоит для начала отметить, что обнаружив уязвимость, мы в первую очередь хотели как можно быстрее выпустить апдейты с фиксами, при этом не выключая какой-либо функциональности в IDE, что могло негативно сказаться на наших пользователях.
Встроенный сервер используется не только при web-разработке, но и для других функций, таких как:
Поэтому мы не могли просто выключить всю затронутую функциональность. Дальнейшие наши шаги подразумевают анализ того, как мы можем обойтись без использования веб сервера в тех или иных случаях, или как минимум уведомить пользователей заранее о выключениях/изменениях в такого рода возможностях.
Встроенный сервер используется не только при web-разработке, но и для других функций, таких как:
- внутренняя поддержка Git SSH
- HTTP авторизация
- показ документации по API вызовам в quick doc
- REST API
Поэтому мы не могли просто выключить всю затронутую функциональность. Дальнейшие наши шаги подразумевают анализ того, как мы можем обойтись без использования веб сервера в тех или иных случаях, или как минимум уведомить пользователей заранее о выключениях/изменениях в такого рода возможностях.
Приятно, что даже про старушку IntelliJ IDEA 12, не забыли. Обратная поддержка это всегда хорошо. Молодцы. :)
А что с Android Studio — версия на сайте гугла (143.2821654) — уже с фиксом или надо ждать, когда они раскачаются?
Они выпустили апдейт одновременно с нами.
Все синхронизировано, апдейты здесь.
когда зафиксите интеграцию с беткой докера (которая с xhyve и что-там под виндой)?
В этой версии Webstorm есть поддержка node js 6?
Статья на английском от автора найденной уязвимости.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обновление, исправляющее проблемы безопасности для всех инструментов на основе платформы IntelliJ