В 25 iyun qiymətli daş paketinin buraxılışı Strong_password 0.7 zərərli dəyişiklik (), Pastebin xidmətində yerləşdirilən naməlum təcavüzkar tərəfindən idarə olunan xarici kodun yüklənməsi və icrası. Layihənin yüklənmələrinin ümumi sayı 247 min, 0.6 versiyası isə 38 minə yaxındır. Zərərli versiya üçün yükləmələrin sayı 537 olaraq göstərilib, lakin bu buraxılışın artıq Ruby Gems-dən silindiyini nəzərə alsaq, bunun nə dərəcədə dəqiq olduğu bəlli deyil.
Strong_password kitabxanası qeydiyyat zamanı istifadəçi tərəfindən müəyyən edilmiş parolun gücünü yoxlamaq üçün alətlər təqdim edir.
Strong_password paketlərindən istifadə edərək think_feel_do_engine (65 min yükləmə), think_feel_do_dashboard (15 min yükləmə) və
super hosting (1.5 min). Zərərli dəyişikliyi müəllifdən depoya nəzarəti ələ keçirən naməlum şəxs tərəfindən əlavə edildiyi qeyd olunur.
Zərərli kod yalnız RubyGems.org saytına əlavə edildi, layihəyə təsir etməmişdir. Layihələrində Strong_password istifadə edən tərtibatçılardan biri 6 aydan çox əvvəl sonuncu dəyişikliyin nə üçün depoya əlavə olunduğunu anlamağa başladıqdan sonra problem müəyyən edildi, lakin RubyGems-də yeni bir versiya adından nəşr olunan yeni buraxılış çıxdı. əvvəllər heç kimin eşitmədiyi qoruyucu, mən heç nə eşitmədim.
Təcavüzkar Strong_password-un problemli versiyasından istifadə edərək serverlərdə ixtiyari kod icra edə bilər. Pastebin ilə bağlı problem aşkar edildikdə, müştəri tərəfindən "__id" kuki vasitəsilə ötürülən və Base64 metodu ilə kodlaşdırılan istənilən kodu işə salmaq üçün skript yükləndi. Zərərli kod həmçinin zərərli Strong_password variantının quraşdırıldığı hostun parametrlərini təcavüzkar tərəfindən idarə olunan serverə göndərdi.
Mənbə: opennet.ru