ProHoster > Blog > naidheachdan eadar-lìn > Chaidh còd droch-rùnach a chuir an àite pasgan Ruby Strong_password

Chaidh còd droch-rùnach a chuir an àite pasgan Ruby Strong_password

В foillsichte Sgaoileadh 25 Ògmhios pasgan gem Strong_password 0.7 nochd atharrachadh droch-rùnach (CVE-2019-13354), a’ luchdachadh sìos agus a’ cur an gnìomh còd taobh a-muigh fo smachd neach-ionnsaigh neo-aithnichte, air aoigheachd air seirbheis Pastebin. Is e an àireamh iomlan de luchdachadh sìos den phròiseact 247 mìle, agus tha dreach 0.6 timcheall air 38 mìle. Airson an dreach droch-rùnach, tha an àireamh de luchdachadh sìos air a liostadh mar 537, ach chan eil e soilleir dè cho ceart ‘s a tha seo, leis gu bheil am brath seo air a thoirt air falbh bho Ruby Gems mu thràth.

Tha an leabharlann Strong_password a’ toirt seachad innealan airson neart am facal-faire a shònraich an neach-cleachdaidh aig àm clàraidh a sgrùdadh.
Am measg nan a’ cleachdadh na pacaidean Strong_password think_feel_do_engine (65 mìle luchdachadh sìos), think_feel_do_dashboard (15 mìle luchdachadh sìos) agus
superhosting (1.5 mìle). Tha e air a thoirt fa-near gun deach an t-atharrachadh droch-rùnach a chuir ris le neach neo-aithnichte a ghlac smachd air an stòr bhon ùghdar.

Cha deach an còd droch-rùnach a chuir ri RubyGems.org a-mhàin, Stòr-tasgaidh Git cha deach buaidh a thoirt air a’ phròiseact. Chaidh an duilgheadas a chomharrachadh às deidh dha aon den luchd-leasachaidh, a bhios a’ cleachdadh Strong_password anns na pròiseactan aige, tòiseachadh a’ faighinn a-mach carson a chaidh an t-atharrachadh mu dheireadh a chur ris an stòr còrr is 6 mìosan air ais, ach nochd brath ùr air RubyGems, a chaidh fhoillseachadh às leth fear ùr. fhear-coimhid, mu'n cuala neach air bith roimhe nach cuala mi ni sam bith.

Dh’ fhaodadh an neach-ionnsaigh còd neo-riaghailteach a chuir an gnìomh air frithealaichean a’ cleachdadh an dreach trioblaideach de Strong_password. Nuair a chaidh duilgheadas le Pastebin a lorg, chaidh sgriobt a luchdachadh gus còd sam bith a chuir an neach-ceannach seachad tro Cookie “__id” a ruith agus a chòdachadh a’ cleachdadh modh Base64. Chuir an còd droch-rùnach cuideachd crìochan an òstair air an deach an tionndadh droch-rùnach Strong_password a chuir a-steach gu frithealaiche fo smachd an neach-ionnsaigh.

Chaidh còd droch-rùnach a chuir an àite pasgan Ruby Strong_password

Chaidh còd droch-rùnach a chuir an àite pasgan Ruby Strong_password

Source: fosgailtenet.ru

Cuir beachd ann