В 25. juna izdanje gem paketa Strong_password 0.7 zlonamjerna promjena (), preuzimanje i izvršavanje eksternog koda koji kontroliše nepoznati napadač, koji se nalazi na Pastebin servisu. Ukupan broj preuzimanja projekta je 247 hiljada, a verzija 0.6 je oko 38 hiljada. Za zlonamjernu verziju, broj preuzimanja je naveden kao 537, ali nije jasno koliko je to tačno, s obzirom da je ovo izdanje već uklonjeno iz Ruby Gems-a.
Biblioteka Strong_password pruža alate za provjeru jačine lozinke koju je korisnik naveo prilikom registracije.
koristeći Strong_password pakete think_feel_do_engine (65 hiljada preuzimanja), think_feel_do_dashboard (15 hiljada preuzimanja) i
superhosting (1.5 hiljada). Napominje se da je zlonamjernu promjenu dodala nepoznata osoba koja je od autora preuzela kontrolu nad repozitorijumom.
Zlonamjerni kod je dodan samo na RubyGems.org, projekat nije bio pogođen. Problem je identifikovan nakon što je jedan od programera, koji koristi Strong_password u svojim projektima, počeo da shvata zašto je poslednja promena dodata u spremište pre više od 6 meseci, ali se na RubyGemsu pojavilo novo izdanje, objavljeno u ime novog održavalac, za koga niko ranije nije čuo nisam čuo ništa.
Napadač bi mogao izvršiti proizvoljan kod na serverima koristeći problematičnu verziju Strong_password. Kada je otkriven problem sa Pastebin-om, učitana je skripta za pokretanje bilo kog koda koji je klijent proslijedio preko kolačića "__id" i kodiran korištenjem Base64 metode. Zlonamjerni kod je također poslao parametre hosta na kojem je instalirana zlonamjerna varijanta Strong_password na server koji kontroliše napadač.
izvor: opennet.ru