Обновление, исправляющее проблемы безопасности для всех инструментов на основе платформы IntelliJ

Привет, Хабр!

Обращаем ваше внимание, что мы только что выпустили обновление всех наших IDE на базе платформы IntelliJ (как недавно выпущенной 2016.1 версии, так и старых). Причина — найденная уязвимость в самой платформе. Обновления и патчи уже доступны.

Нам неизвестно ни одного случая использования найденных проблем, но мы настоятельно рекомендуем всем нашим пользователям обновить затронутые IDE как можно скорее.

Ниже читайте описание проблемы и короткую инструкцию, что делать дальше.

Уязвимость, связанная со встроенным веб-сервером


Встроенный в IDE веб-сервер мог быть атакован с помощью межсайтовой подделки запроса (cross-site request forgery flaw). В результате злоумышленники могли получить доступ к локальной файловой системе пользователя без его ведома с помощью сайта, созданного злоумышленником.

Уязвимость, связанная со внутренними вызовами RPC


Недостаточно ограниченная политика CORS (Cross-origin resource sharing) давала злоумышленнику возможность получить доступ к вызовам внутренного API, данным, которые хранит IDE, а также к различной информации о самой IDE (как то ее версия), помимо этого появлялась возможность открывать проекты.

Что делать?


Чтобы установить обновление, запустите 'Check for Updates' или скачайте актуальную версию нужного вам продукта с сайта www.jetbrains.com.

Если вы используете одну из старых версий, перейдите на одну из страниц со старыми версиями из списка ниже:

  • AppCode
  • CLion
  • DataGrip — пожалуйста, скачивайте последнюю версию с сайта продукта
  • IntelliJ IDEA
  • MPS
  • PhpStorm
  • PyCharm
  • PyCharm Edu — пожалуйста, скачивайте последнюю версию с сайта продукта
  • Rider — несколько дней назад вы должны были получить электронное письмо со ссылкой на скачивание обновления
  • RubyMine
  • WebStorm

Обращаем ваше внимание, что проблема не затронула другие наши продукты, которые не основаны на платформе IntelliJ, а именно: ReSharper, ReSharper C++, dotCover, dotMemory, dotTrace, dotPeek, TeamCity, YouTrack, Upsource и Hub.

Чуть больше деталей можно найти в посте в нашем англоязычном блоге. И, конечно, мы рады ответить на любые ваши вопросы в комментариях.

Спасибо за понимание!
Ваша Команда JetBrains

© Habrahabr.ru