漏洞关键信息 漏洞标题: Bio Basespace SDK 0.1.7 Ruby Gem exposes API Key via command line 发布日期: 11/15/2013 作者: Larry W. Cashdollar, @_.larry0 下载链接: http://rubygems.org/gems/bio-basespace-sdk 描述: - BaseSpace Ruby SDK 是一个 Ruby 基于的软件开发工具包,用于开发与 Illumina 的 BaseSpace 云计算解决方案一起工作的应用程序和脚本,主要用于下一代测序数据分析。 - SDK 的主要目的是提供一个易于使用的 Ruby 环境,让开发人员可以通过认证用户,检索数据,并将数据/结果上传到 BaseSpace。 漏洞详情: - API 客户端代码将 API_KEY 传递给了 curl 命令,这会将 api key 暴露在 shell 和进程表中。系统上的其他用户可以通过监控进程表来获取 api key。 涉及的代码片段: 反序列化一个布尔值为 Ruby 对象: - Deserialize a boolean value to a Ruby object. 厂商通知日期: 2013 年 11 月 15 日 建议阅读的详细通告: - http://www.vapid.dhs.org/advisories/bio-basespace-sdk.html