В O 25 de xuño lanzamento do paquete de xemas Strong_password 0.7 cambio malicioso (), descargando e executando código externo controlado por un atacante descoñecido, aloxado no servizo Pastebin. O número total de descargas do proxecto é de 247 mil, e a versión 0.6 é duns 38 mil. Para a versión maliciosa, o número de descargas aparece como 537, pero non está claro o que é preciso, dado que esta versión xa foi eliminada de Ruby Gems.
A biblioteca Strong_password ofrece ferramentas para comprobar a solidez do contrasinal especificado polo usuario durante o rexistro.
usando os paquetes Strong_password think_feel_do_engine (65 mil descargas), think_feel_do_dashboard (15 mil descargas) e
superhosting (1.5 mil). Nótase que o cambio malicioso foi engadido por unha persoa descoñecida que tomou o control do repositorio ao autor.
O código malicioso só se engadiu a RubyGems.org, o proxecto non se viu afectado. O problema identificouse despois de que un dos desenvolvedores, que usa Strong_password nos seus proxectos, comezase a descubrir por que o último cambio se engadiu ao repositorio hai máis de 6 meses, pero apareceu unha nova versión en RubyGems, publicada en nome dun novo mantedor, do que ninguén oíra antes eu non oín nada.
O atacante podería executar código arbitrario en servidores usando a versión problemática de Strong_password. Cando se detectou un problema con Pastebin, cargouse un script para executar calquera código pasado polo cliente a través da cookie "__id" e codificado co método Base64. O código malicioso tamén enviou parámetros do host no que se instalou a variante maliciosa Strong_password a un servidor controlado polo atacante.
Fonte: opennet.ru