В 25 Junie vrystelling van juweelpakket Strong_password 0.7 kwaadwillige verandering (), aflaai en uitvoer van eksterne kode wat beheer word deur 'n onbekende aanvaller, aangebied op die Pastebin-diens. Die totale aantal aflaaie van die projek is 247 duisend, en weergawe 0.6 is ongeveer 38 duisend. Vir die kwaadwillige weergawe word die aantal aflaaie as 537 gelys, maar dit is nie duidelik hoe akkuraat dit is nie, aangesien hierdie vrystelling reeds van Ruby Gems verwyder is.
Die Strong_password-biblioteek bied gereedskap om die sterkte van die wagwoord te kontroleer wat deur die gebruiker tydens registrasie gespesifiseer is.
met behulp van die Strong_password-pakkette think_feel_do_engine (65 duisend aflaaie), think_feel_do_dashboard (15 duisend aflaaie) en
superhosting (1.5 duisend). Daar word kennis geneem dat die kwaadwillige verandering bygevoeg is deur 'n onbekende persoon wat beheer oor die bewaarplek van die skrywer oorgeneem het.
Die kwaadwillige kode is slegs by RubyGems.org gevoeg, die projek is nie geraak nie. Die probleem is geïdentifiseer nadat een van die ontwikkelaars, wat Strong_password in sy projekte gebruik, begin uitvind hoekom die laaste verandering meer as 6 maande gelede by die bewaarplek gevoeg is, maar 'n nuwe vrystelling verskyn op RubyGems, gepubliseer namens 'n nuwe onderhouder, van wie niemand voorheen gehoor het nie, het ek niks gehoor nie.
Die aanvaller kan arbitrêre kode op bedieners uitvoer deur die problematiese weergawe van Strong_password te gebruik. Wanneer 'n probleem met Pastebin opgespoor is, is 'n skrip gelaai om enige kode te laat loop wat deur die kliënt deur middel van koekie "__id" geslaag is en met die Base64-metode geënkodeer is. Die kwaadwillige kode het ook parameters van die gasheer waarop die kwaadwillige Strong_password-variant geïnstalleer is, gestuur na 'n bediener wat deur die aanvaller beheer word.
Bron: opennet.ru