Π Mehefin 25 rhyddhau pecyn gem Strong_password 0.7 newid maleisus (), lawrlwytho a gweithredu cod allanol a reolir gan ymosodwr anhysbys, a gynhelir ar y gwasanaeth Pastebin. Cyfanswm y lawrlwythiadau o'r prosiect yw 247 mil, ac mae fersiwn 0.6 tua 38 mil. Ar gyfer y fersiwn maleisus, rhestrir nifer y lawrlwythiadau fel 537, ond nid yw'n glir pa mor gywir yw hyn, o ystyried bod y datganiad hwn eisoes wedi'i dynnu o Ruby Gems.
Mae'r llyfrgell Strong_password yn darparu offer ar gyfer gwirio cryfder y cyfrinair a nodir gan y defnyddiwr wrth gofrestru.
defnyddio'r pecynnau Strong_password think_feel_do_engine (65 mil o lawrlwythiadau), think_feel_do_dashboard (15 mil o lawrlwythiadau) a
superhosting (1.5 mil). Nodir bod y newid maleisus wedi'i ychwanegu gan berson anhysbys a gipiodd reolaeth yr ystorfa oddi wrth yr awdur.
Ychwanegwyd y cod maleisus at RubyGems.org yn unig, ni effeithiwyd ar y prosiect. Nodwyd y broblem ar Γ΄l i un o'r datblygwyr, sy'n defnyddio Strong_password yn ei brosiectau, ddechrau darganfod pam yr ychwanegwyd y newid diwethaf i'r ystorfa fwy na 6 mis yn Γ΄l, ond ymddangosodd datganiad newydd ar RubyGems, a gyhoeddwyd ar ran newydd. cynnaliwr, yr hwn ni chlywais neb am dano o'r blaen ni chlywais i ddim.
Gallai'r ymosodwr weithredu cod mympwyol ar weinyddion gan ddefnyddio'r fersiwn problemus o Strong_password. Pan ganfuwyd problem gyda Pastebin, llwythwyd sgript i redeg unrhyw god a basiwyd gan y cleient trwy Cookie "__id" a'i hamgodio gan ddefnyddio'r dull Base64. Anfonodd y cod maleisus hefyd baramedrau'r gwesteiwr y gosodwyd yr amrywiad Strong_password maleisus arno i weinydd a reolir gan yr ymosodwr.
Ffynhonnell: opennet.ru