В 25 juny frijlitting fan gem pakket Strong_password 0.7 kweade feroaring (), it downloaden en útfieren fan eksterne koade kontrolearre troch in ûnbekende oanfaller, hosted op de Pastebin-tsjinst. It totale oantal downloads fan it projekt is 247 tûzen, en ferzje 0.6 is sawat 38 tûzen. Foar de kweade ferzje wurdt it oantal downloads neamd as 537, mar it is net dúdlik hoe krekt dit is, jûn dat dizze útjefte al fuorthelle is fan Ruby Gems.
De Strong_password-bibleteek biedt ark foar it kontrolearjen fan de sterkte fan it wachtwurd dat troch de brûker opjûn is by registraasje.
mei help fan de Strong_password-pakketten think_feel_do_engine (65 tûzen downloads), think_feel_do_dashboard (15 tûzen downloads) en
superhosting (1.5 tûzen). It wurdt opmurken dat de kweade feroaring waard tafoege troch in ûnbekende persoan dy't grypt kontrôle fan de repository fan de skriuwer.
De kweade koade waard allinich tafoege oan RubyGems.org, it projekt waard net beynfloede. It probleem waard identifisearre nei't ien fan 'e ûntwikkelders, dy't Strong_password brûkt yn syn projekten, begon út te finen wêrom't de lêste feroaring mear as 6 moannen lyn oan it repository tafoege waard, mar in nije release ferskynde op RubyGems, publisearre út namme fan in nije ûnderhâlder, dêr't nimmen earder fan heard hie, hearde ik neat.
De oanfaller koe willekeurige koade útfiere op servers mei de problematyske ferzje fan Strong_password. Doe't in probleem mei Pastebin waard ûntdutsen, waard in skript laden om elke koade út te fieren dy't troch de kliïnt fia Cookie "__id" is trochjûn en kodearre mei de Base64-metoade. De kweade koade stjoerde ek parameters fan 'e host wêrop de kweade Strong_password fariant ynstallearre wie nei in server kontrolearre troch de oanfaller.
Boarne: opennet.ru