В 25. juunil tuleb välja kalliskivipakett Strong_password 0.7 pahatahtlik muutus (), laadides alla ja käivitades välise koodi, mida juhib tundmatu ründaja ja mis on hostitud Pastebini teenuses. Projekti allalaadimiste koguarv on 247 tuhat ja versiooni 0.6 umbes 38 tuhat. Pahatahtliku versiooni puhul on allalaadimiste arvuks märgitud 537, kuid pole selge, kui täpne see on, kuna see väljalase on Ruby Gemsist juba eemaldatud.
Strong_password teek pakub tööriistu kasutaja poolt registreerimisel määratud parooli tugevuse kontrollimiseks.
kasutades Strong_password pakette think_feel_do_engine (65 tuhat allalaadimist), think_feel_do_dashboard (15 tuhat allalaadimist) ja
supermajutus (1.5 tuhat). Märgitakse, et pahatahtliku muudatuse lisas tundmatu isik, kes võttis hoidla autorilt kontrolli.
Pahatahtlik kood lisati ainult saidile RubyGems.org, projekti see ei mõjutanud. Probleem tuvastati pärast seda, kui üks arendajatest, kes kasutab oma projektides Strong_passwordi, hakkas välja mõtlema, miks viimane muudatus lisati hoidlasse rohkem kui 6 kuud tagasi, kuid RubyGemsis ilmus uus väljalase, mis avaldati uue kasutaja nimel. hooldaja, kellest keegi varem kuulnud ei olnud ma ei kuulnud midagi.
Ründaja võib käivitada serverites suvalise koodi, kasutades Strong_password probleemset versiooni. Kui Pastebiniga tuvastati probleem, laaditi skript, mis käivitas mis tahes koodi, mille klient edastas küpsise "__id" kaudu ja kodeeriti Base64 meetodil. Pahatahtlik kood saatis ründaja kontrollitavasse serverisse ka selle hosti parameetrid, millele oli installitud pahatahtlik Strong_password variant.
Allikas: opennet.ru