В 25 чэрвеня выпуску gem-пакета Strong_password 0.7 шкоднасная змена (), якое загружае і выконвае падкантрольны невядомаму зламысніку вонкавы код, размешчаны на сэрвісе Pastebin. Агульны лік загрузак праекта складае 247 тысяч, а версіі 0.6 – каля 38 тысяч. Для шкоднаснай версіі лік загрузак паказана 537, але не ясна наколькі яно адпавядае рэчаіснасці з улікам таго, што дадзены выпуск ужо выдалены з Ruby Gems.
Бібліятэка Strong_password дае сродкі для праверкі надзейнасці пароля, які задаецца карыстальнікам пры рэгістрацыі.
якія выкарыстоўваюць Strong_password пакетаў think_feel_do_engine (65 тысяч загрузак), think_feel_do_dashboard (15 тысяч загрузак) і
superhosting (1.5 тыс). Адзначаецца, што шкодная змена была дададзена невядомым, якія перахапілі ў аўтара кантроль за рэпазітаром.
Шкодны код быў дададзены толькі на RubyGems.org, праекту не пацярпеў. Праблема была выяўлена пасля таго, як адзін з распрацоўшчыкаў, які выкарыстоўвае ў сваіх праектах Strong_password, пачаў разбірацца, чаму ў рэпазітары апошняя змена была дададзена больш за 6 месяцаў таму, але на RubyGems з'явіўся новы рэліз, апублікаваны ад асобы новага мэйтэнера, пра якога ніхто да гэтага нічога не чуў.
Атакуючы мог арганізаваць выкананне адвольнага кода на серверах, выкарыстоўвалых праблемную версію Strong_password. У момант выяўлення праблемы з Pastebin загружаўся скрыпт для арганізацыі запуску любога кода, перададзенага кліентам праз Cookie "__id" і закадаванага пры дапамозе метаду Base64. Шкоднасны код таксама адпраўляў параметры хаста, на які ўсталяваны шкоднасны варыянт Strong_password, на падкантрольны зламысніку сервер.
Крыніца: opennet.ru