በታዋቂው የጌጣጌጥ ጥቅል ውስጥ በአጠቃላይ 113 ሚሊዮን ውርዶች፣ ሊተገበሩ የሚችሉ ትዕዛዞችን የሚያወርድ እና መረጃን ወደ ውጭ አስተናጋጅ የሚልክ ተንኮል-አዘል ኮድ (CVE-2019-15224) መተካት። ጥቃቱ የተፈፀመው በ የገንቢ መለያ ዕረፍት ደንበኛ በ rubygems.org ማከማቻ ውስጥ፣ ከዚያ በኋላ አጥቂዎቹ 13-14 በነሀሴ 1.6.10 እና 1.6.13 ላይ አሳትመዋል፣ ይህም ጎጂ ለውጦችን ያካትታል። ተንኮል-አዘል ስሪቶች ከመታገዱ በፊት ወደ አንድ ሺህ የሚጠጉ ተጠቃሚዎች እነሱን ማውረድ ችለዋል (አጥቂዎቹ ትኩረትን ላለመሳብ ሲሉ የቆዩ ስሪቶችን አሻሽለዋል)።
ተንኮል አዘል ለውጡ በክፍሉ ውስጥ ያለውን "#አረጋጋጭ" ዘዴ ይሽራል።
ማንነት፣ ከዚያ በኋላ እያንዳንዱ የጥሪ ዘዴ ወደ አጥቂዎቹ አስተናጋጅ በሚላክበት የማረጋገጫ ሙከራ ወቅት የተላከውን ኢሜይል እና የይለፍ ቃል ያስከትላል። በዚህ መንገድ የማንነት ክፍልን የሚጠቀሙ የአገልግሎት ተጠቃሚዎች የመግቢያ መለኪያዎች እና የተቀረው ደንበኛ ቤተ-መጽሐፍት ተጋላጭ የሆነ ስሪት ሲጭኑ ይያዛሉ። እንደ አስት (64 ሚሊዮን ማውረዶች)፣ oauth (32 ሚሊዮን)፣ ፋስትላን (18 ሚሊዮን) እና ኩቤክሊንት (3.7 ሚሊዮን) ጨምሮ በብዙ ታዋቂ የሩቢ ጥቅሎች ውስጥ እንደ ጥገኝነት።
በተጨማሪም፣ የዘፈቀደ የሩቢ ኮድ በ eval ተግባር በኩል እንዲፈፀም የሚያስችል የኋላ በር ወደ ኮድ ተጨምሯል። ኮዱ የሚተላለፈው በአጥቂው ቁልፍ በተረጋገጠ ኩኪ ነው። በውጫዊ አስተናጋጅ ላይ ተንኮል አዘል ፓኬጅ ስለመጫኑ ለአጥቂዎች ለማሳወቅ የተጎጂው ስርዓት ዩአርኤል እና ስለ አካባቢው መረጃ ምርጫ ለምሳሌ ለዲቢኤምኤስ እና የደመና አገልግሎቶች የተቀመጡ የይለፍ ቃሎች ይላካሉ። ለክሪፕቶፕ ማዕድን ስክሪፕቶችን ለማውረድ የተደረገው ሙከራ ከላይ የተጠቀሰውን ተንኮል አዘል ኮድ በመጠቀም ተመዝግቧል።
ተንኮል አዘል ኮድ ካጠና በኋላ ነበር ውስጥ ተመሳሳይ ለውጦች እንዳሉ በሩቢ ጌምስ ያልተያዙ ነገር ግን ተመሳሳይ ስሞች ባላቸው ሌሎች ታዋቂ ቤተ-መጻሕፍት ላይ ተመስርተው በአጥቂዎች ልዩ ተዘጋጅተው ነበር፣ በዚህ ውስጥ ሰረዝ በግርጌ ወይም በተቃራኒው ተተክቷል (ለምሳሌ ፣ ላይ የተመሠረተ ተንኮል አዘል ጥቅል ክሮን_ፓርሰር ተፈጥሯል፣ እና በዚህ ላይ የተመሰረተ doge-coin ተንኮል አዘል ጥቅል). የችግር ፓኬጆች
- : 4.2.2, 4.2.1
- : 0.0.6, 0.0.7
- : 1.18.0
- : 1.0.2
- : 0.5.5
- : 4.3.3
- : 0.0.3
- : 0.2.8
- : 1.0.1
- እ.ኤ.አ. 1.0.12 ፣ 1.0.13 ፣ 0.1.4
ከዚህ ዝርዝር ውስጥ የመጀመሪያው ተንኮል አዘል ፓኬጅ በሜይ 12 ላይ ተለጠፈ ፣ ግን አብዛኛዎቹ በሐምሌ ወር ታዩ። በአጠቃላይ እነዚህ ጥቅሎች ወደ 2500 ጊዜ ያህል ወርደዋል።
ምንጭ: opennet.ru