Cód mailíseach braite i bpacáistí sosa-chliant agus 10 bpacáistí Ruby eile

I bpacáiste gem tóir chuid eile-chliant, le 113 milliún íosluchtú san iomlán, aitheanta Cód mailíseach a chur in ionad (CVE-2019-15224) a íoslódálann orduithe inrite agus a sheolann faisnéis chuig óstach seachtrach. Rinneadh an t-ionsaí tríd comhréiteach cuntas forbróir chuid eile cliant sa stór rubygems.org, tar éis a d'fhoilsigh na hionsaitheoirí eisiúintí 13-14 ar 1.6.10 agus 1.6.13 Lúnasa, lena n-áirítear athruithe mailíseach. Sular cuireadh bac ar na leaganacha mailíseacha, d'éirigh le tuairim is míle úsáideoir iad a íoslódáil (d'eisigh na hionsaitheoirí nuashonruithe ar leaganacha níos sine ionas nach gcuirfí aird orthu).

Sáraíonn an t-athrú mailíseach an modh "#authenticate" sa rang
Céannacht, agus ina dhiaidh sin is é an toradh a bhíonn ar gach glao modha ná an ríomhphost agus an pasfhocal a sheoltar le linn na hiarrachta fíordheimhnithe a sheoladh chuig óstach an ionsaitheora. Ar an mbealach seo, idircheapadh paraiméadair logáil isteach na n-úsáideoirí seirbhíse a úsáideann an rang Aitheantais agus a shuiteáil leagan leochaileach de leabharlann an chuid eile cliant, a le feiceáil mar spleáchas i go leor pacáistí Ruby tóir, lena n-áirítear Ast (64 milliún íoslódálacha), oauth (32 milliún), fastlane (18 milliún), agus kubeclient (3.7 milliún).

Ina theannta sin, tá backdoor curtha leis an gcód, rud a ligeann cód Ruby treallach a fhorghníomhú tríd an fheidhm eval. Tarchuirtear an cód trí Fhianán atá deimhnithe ag eochair an ionsaitheora. Chun ionsaitheoirí a chur ar an eolas maidir le pacáiste mailíseach a shuiteáil ar óstach seachtrach, seoltar URL chóras an íospartaigh agus rogha faisnéise faoin gcomhshaol, amhail pasfhocail shábháilte don DBMS agus seirbhísí néal. Taifeadadh iarrachtaí chun scripteanna a íoslódáil le haghaidh mianadóireachta cryptocurrency ag baint úsáide as an gcód mailíseach thuasluaite.

Tar éis staidéar a dhéanamh ar an gcód mailíseach a bhí sé nochtgo bhfuil athruithe cosúla i láthair i 10 bpacáiste i Ruby Gems, nár gabhadh, ach a ullmhaíodh go speisialta ag ionsaitheoirí bunaithe ar leabharlanna tóir eile le hainmneacha comhchosúla, inar cuireadh béim nó vice versa in ionad an dash (mar shampla, bunaithe ar cron-parsálaí Cruthaíodh pacáiste mailíseach cron_parser, agus bunaithe ar doge_coin pacáiste mailíseach doge-coin). Pacáistí fadhbanna:

• bonn_bonn: 4.2.2, 4.2.1
• blockchain_sparán: 0.0.6, 0.0.7
• uamhnach-bot: 1.18.0
• doge-coin: 1.0.2
• dathanna capistrano: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• ag teacht go luath: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parsálaí: 1.0.12, 1.0.13, 0.1.4

Cuireadh an chéad phacáiste mailíseach ón liosta seo ar 12 Bealtaine, ach bhí an chuid is mó acu le feiceáil i mí Iúil. San iomlán, íoslódáladh na pacáistí seo thart ar 2500 uair.

Foinse: oscailtenet.ru