Ann am pasgan gem mòr-chòrdte , le 113 millean luchdachadh sìos gu h-iomlan, Cur an àite còd droch-rùnach (CVE-2019-15224) a bhios a’ luchdachadh sìos òrdughan so-ghnìomhaichte agus a’ cur fiosrachadh gu òstair a-muigh. Chaidh an ionnsaigh a dhèanamh troimhe ath-chliant cunntas leasaiche ann an stòr rubygems.org, às deidh sin dh’ fhoillsich an luchd-ionnsaigh fiosan 13-14 air Lùnastal 1.6.10 agus 1.6.13, a bha a ’toirt a-steach atharrachaidhean droch-rùnach. Mus deach na dreachan droch-rùnach a bhacadh, chaidh aig timcheall air mìle neach-cleachdaidh air an luchdachadh sìos (chuir an luchd-ionnsaigh a-mach ùrachaidhean gu seann dreachan gus nach tarraing iad aire).
Tha an t-atharrachadh droch-rùnach a’ dol thairis air a’ mhodh “#authenticate” sa chlas
Dearbh-aithne, às deidh sin bidh gach gairm modh a’ toirt a-mach am post-d agus am facal-faire a chaidh a chuir fhad ‘s a thèid an oidhirp dearbhaidh a chuir gu aoigh an luchd-ionnsaigh. San dòigh seo, thathas a’ gabhail a-steach crìochan logadh a-steach luchd-cleachdaidh seirbheis a tha a’ cleachdadh a’ chlas Aithne agus a’ stàladh dreach so-leònte den leabharlann luchd-cleachdaidh eile, a tha mar eisimeileachd ann am mòran phasganan Ruby mòr-chòrdte, a’ toirt a-steach AST (64 millean luchdachadh sìos), oauth (32 millean), fastlane (18 millean), agus kubeclient (3.7 millean).
A bharrachd air an sin, chaidh backdoor a chuir ris a’ chòd, a leigeas le còd Ruby neo-riaghailteach a chuir gu bàs tron ghnìomh eval. Tha an còd air a ghluasad tro bhriosgaid air a dhearbhadh le iuchair an neach-ionnsaigh. Gus fiosrachadh a thoirt do luchd-ionnsaigh mu bhith a’ stàladh pasgan droch-rùnach air aoigheachd a-muigh, thèid URL siostam an neach-fulaing agus taghadh de dh’ fhiosrachadh mun àrainneachd, leithid faclan-faire sàbhalaidh airson an DBMS agus seirbheisean sgòthan, a chuir. Chaidh oidhirpean gus sgriobtaichean a luchdachadh sìos airson mèinnearachd cryptocurrency a chlàradh a ’cleachdadh a’ chòd droch-rùnach a chaidh ainmeachadh gu h-àrd.
An dèidh sgrùdadh a dhèanamh air a 'chòd droch-rùnach bha e gu bheil atharrachaidhean coltach ris an làthair ann an Ruby Gems, nach deach an glacadh, ach a chaidh an ullachadh gu sònraichte le luchd-ionnsaigh stèidhichte air leabharlannan mòr-chòrdte eile le ainmean coltach ris, anns an deach fo-sgòr a chuir na àite no a chaochladh (mar eisimpleir, stèidhichte air chaidh pasgan droch-rùnach cron_parser a chruthachadh, agus stèidhichte air pasgan doge-coin droch-rùnach). Pacaidean trioblaid:
- : 4.2.2, 4.2.1
- : 0.0.6, 0.0.7
- : 1.18.0
- : 1.0.2
- : 0.5.5
- : 4.3.3
- : 0.0.3
- : 0.2.8
- : 1.0.1
- : 1.0.12, 1.0.13, 0.1.4
Chaidh a’ chiad phasgan droch-rùnach bhon liosta seo a phostadh air 12 Cèitean, ach nochd a’ mhòr-chuid dhiubh san Iuchar. Gu h-iomlan, chaidh na pacaidean sin a luchdachadh sìos timcheall air 2500 uair.
Source: fosgailtenet.ru