Es wurde ein Einschleusen von Schadcode in das Ruby-Paket Strong_password festgestellt

In veröffentlichten 25. Juni Ausgabe des gem-Pakets Strong_password 0.7 35 Schwachstellen identifiziert, auf deren Grundlage mehrere Angriffsszenarien entwickelt wurden, die es ermöglichen, AES-Schlüssel aus der Enklave zu extrahieren oder die Ausführung eigenen Codes durch das Schaffen von Bedingungen für die Beschädigung des Speicherinhalts zu organisieren. schädliche Änderung (CVE-2019-13354), die externen Code lädt und ausführt, der von einem unbekannten Angreifer auf der Pastebin-Plattform gehostet wird. Die Gesamtzahl der Downloads des Projekts beträgt 247.000, während Version 0.6 etwa 38.000 Downloads aufweist. Die Download-Zahl für die schädliche Version liegt bei 537, es ist jedoch unklar, inwieweit dies der Realität entspricht, da diese Version bereits von Ruby Gems entfernt wurde.

Die Bibliothek Strong_password bietet Mittel zur Überprüfung der Passwortsicherheit, die der Benutzer bei der Registrierung festlegt.
Unter die Strong_password-Pakete think_feel_do_engine (65.000 Downloads), think_feel_do_dashboard (15.000 Downloads) und
superhosting (1,5 Tausend). Es wird angemerkt, dass die schädliche Änderung von einem Unbekannten hinzugefügt wurde, der die Kontrolle über das Repository des Autors übernommen hat.

Der schädliche Code wurde ausschließlich auf RubyGems.org hinzugefügt, Git-Repository Das Projekt blieb unberührt. Das Problem wurde festgestellt, nachdem ein Entwickler, der in seinen Projekten Strong_password verwendet, herausfand, warum die letzte Änderung im Repository vor über 6 Monaten vorgenommen wurde, während auf RubyGems eine neue Version veröffentlicht wurde, die von einem neuen Maintainer hochgeladen wurde, von dem niemand zuvor gehört hatte.

Der Angreifer konnte die Ausführung beliebigen Codes auf den Servern, die die fehlerhafte Version von Strong_password verwenden, organisieren. Zum Zeitpunkt der Entdeckung des Problems wurde ein Skript auf Pastebin hochgeladen, um die Ausführung beliebiger Codes zu ermöglichen, die vom Kunden über das Cookie „__id“ übermittelt und mit der Base64-Methode kodiert wurden. Der bösartige Code sendete auch Parameter des Hosts, auf dem die manipulierte Version von Strong_password installiert war, an einen vom Angreifer kontrollierten Server.

Es wurde ein Einschleusen von Schadcode in das Ruby-Paket Strong_password festgestellt

Es wurde ein Einschleusen von Schadcode in das Ruby-Paket Strong_password festgestellt

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster