Обновление, исправляющее проблемы безопасности для всех инструментов на основе платформы IntelliJ

в 15:05, , рубрики: intellij, security update, Блог компании JetBrains

Привет!

Обращаем ваше внимание, что мы только что выпустили обновление всех наших IDE на базе платформы IntelliJ (как недавно выпущенной 2016.1 версии, так и старых). Причина — найденная уязвимость в самой платформе. Обновления и патчи уже доступны.

Нам неизвестно ни одного случая использования найденных проблем, но мы настоятельно рекомендуем всем нашим пользователям обновить затронутые IDE как можно скорее.

Ниже читайте описание проблемы и короткую инструкцию, что делать дальше.

Уязвимость, связанная со встроенным веб-сервером

Встроенный в IDE веб-сервер мог быть атакован с помощью межсайтовой подделки запроса (cross-site request forgery flaw). В результате злоумышленники могли получить доступ к локальной файловой системе пользователя без его ведома с помощью сайта, созданного злоумышленником.

Уязвимость, связанная со внутренними вызовами RPC

Недостаточно ограниченная политика CORS (Cross-origin resource sharing) давала злоумышленнику возможность получить доступ к вызовам внутренного API, данным, которые хранит IDE, а также к различной информации о самой IDE (как то ее версия), помимо этого появлялась возможность открывать проекты.

Что делать?

Чтобы установить обновление, запустите 'Check for Updates' или скачайте актуальную версию нужного вам продукта с сайта www.jetbrains.com.

Если вы используете одну из старых версий, перейдите на одну из страниц со старыми версиями из списка ниже:

  • AppCode
  • CLion
  • DataGrip — пожалуйста, скачивайте последнюю версию с сайта продукта
  • IntelliJ IDEA
  • MPS
  • PhpStorm
  • PyCharm
  • PyCharm Edu — пожалуйста, скачивайте последнюю версию с сайта продукта
  • Rider — несколько дней назад вы должны были получить электронное письмо со ссылкой на скачивание обновления
  • RubyMine
  • WebStorm

Обращаем ваше внимание, что проблема не затронула другие наши продукты, которые не основаны на платформе IntelliJ, а именно: ReSharper, ReSharper C++, dotCover, dotMemory, dotTrace, dotPeek, TeamCity, YouTrack, Upsource и Hub.

Чуть больше деталей можно найти в посте в нашем англоязычном блоге. И, конечно, мы рады ответить на любые ваши вопросы в комментариях.

Спасибо за понимание!
Ваша Команда JetBrains

Автор: JetBrains

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js