Π Ekainaren 25ean Strong_password 0.7 aldaketa gaiztoa (), erasotzaile ezezagun batek kontrolatutako kanpoko kodea deskargatu eta exekutatuz, Pastebin zerbitzuan. Proiektuaren deskarga kopurua 247 mila da, eta 0.6 bertsioa 38 mila ingurukoa da. Bertsio gaiztorako, deskarga-kopurua 537 gisa ageri da, baina ez dago argi zein zehatza den, izan ere, bertsio hau Ruby Gems-etik kendu egin da.
Strong_password liburutegiak erabiltzaileak erregistratzean zehaztutako pasahitzaren sendotasuna egiaztatzeko tresnak eskaintzen ditu.
Strong_password paketeak think_feel_do_engine (65 mila deskarga), think_feel_do_dashboard (15 mila deskarga) eta
superhosting (1.5 mila). Kontuan izan da aldaketa gaiztoa egileari biltegiaren kontrola hartu zion pertsona ezezagun batek gehitu zuela.
Kode gaiztoa RubyGems.org-en bakarrik gehitu zen, proiektua ez zen eraginik izan. Arazoa identifikatu zen, bere proiektuetan Strong_password erabiltzen duen garatzaileetako bat duela 6 hilabete baino gehiago azken aldaketa biltegian zergatik gehitu zen asmatzen hasi zenean, baina bertsio berri bat agertu zen RubyGems-en, berri baten izenean argitaratua. mantentzailea, zeinari buruz inork entzun ez zuen aurretik nik ez nuen ezer entzun.
Erasotzaileak kode arbitrarioa exekutatu lezake zerbitzarietan Strong_password-ren bertsio problematikoa erabiliz. Pastebin-ekin arazo bat detektatu zenean, script bat kargatu zen bezeroak "__id" Cookie-ren bidez emandako edozein kodea exekutatzeko eta Base64 metodoa erabiliz kodetu zen. Kode gaiztoak Strong_password aldaera gaiztoa instalatu zen ostalariaren parametroak ere bidali zituen erasotzaileak kontrolatutako zerbitzari batera.
Iturria: opennet.ru