In 25. Juni Ausgabe des gem-Pakets Strong_password 0.7 schädliche Änderung (), die externen Code lädt und ausführt, der von einem unbekannten Angreifer auf der Pastebin-Plattform gehostet wird. Die Gesamtzahl der Downloads des Projekts beträgt 247.000, während Version 0.6 etwa 38.000 Downloads aufweist. Die Download-Zahl für die schädliche Version liegt bei 537, es ist jedoch unklar, inwieweit dies der Realität entspricht, da diese Version bereits von Ruby Gems entfernt wurde.
Die Bibliothek Strong_password bietet Mittel zur Überprüfung der Passwortsicherheit, die der Benutzer bei der Registrierung festlegt.
die Strong_password-Pakete think_feel_do_engine (65.000 Downloads), think_feel_do_dashboard (15.000 Downloads) und
superhosting (1,5 Tausend). Es wird angemerkt, dass die schädliche Änderung von einem Unbekannten hinzugefügt wurde, der die Kontrolle über das Repository des Autors übernommen hat.
Der schädliche Code wurde ausschließlich auf RubyGems.org hinzugefügt, Das Projekt blieb unberührt. Das Problem wurde festgestellt, nachdem ein Entwickler, der in seinen Projekten Strong_password verwendet, herausfand, warum die letzte Änderung im Repository vor über 6 Monaten vorgenommen wurde, während auf RubyGems eine neue Version veröffentlicht wurde, die von einem neuen Maintainer hochgeladen wurde, von dem niemand zuvor gehört hatte.
Der Angreifer konnte die Ausführung beliebigen Codes auf den Servern, die die fehlerhafte Version von Strong_password verwenden, organisieren. Zum Zeitpunkt der Entdeckung des Problems wurde ein Skript auf Pastebin hochgeladen, um die Ausführung beliebiger Codes zu ermöglichen, die vom Kunden über das Cookie „__id“ übermittelt und mit der Base64-Methode kodiert wurden. Der bösartige Code sendete auch Parameter des Hosts, auf dem die manipulierte Version von Strong_password installiert war, an einen vom Angreifer kontrollierten Server.


Quelle: opennet.ru
