Ua ʻike ʻia ka code ʻino i ka mea hoʻomaha a me 10 mau pūʻolo Ruby ʻē aʻe

I loko o kahi pūʻolo gem kaulana hoʻomaha-mea kūʻai, me ka huina o 113 miliona mau hoʻoiho, ʻike ʻia Hoʻololi i ka code malicious (CVE-2019-15224) e hoʻoiho i nā kauoha hoʻokō a hoʻouna i ka ʻike i kahi host waho. Ua hoʻokō ʻia ka hoʻouka ʻana ma o kuʻikahi ʻO ka mea hoʻomohala moʻokāki rest-client i loko o ka waihona rubygems.org, a ma hope o ka hoʻopuka ʻana o nā mea hoʻouka i ka hoʻokuʻu ʻana i ka 13-14 ma ʻAukake 1.6.10 a me 1.6.13, kahi i loaʻa ai nā hoʻololi ʻino. Ma mua o ka hoʻopaʻa ʻia ʻana o nā mana ʻino, ma kahi o hoʻokahi kaukani mea hoʻohana i hoʻoiho iā lākou (ua hoʻokuʻu nā mea hoʻouka i nā mea hou i nā mana kahiko i ʻole e huki i ka manaʻo).

Hoʻopau ka hoʻololi ʻino i ke ʻano "#authenticate" i ka papa
Identity, ma hope o kēlā me kēia ʻano kelepona e loaʻa ai ka leka uila a me ka ʻōlelo huna i hoʻouna ʻia i ka wā o ka hoʻāʻo hōʻoia e hoʻouna ʻia i ka pūʻali hoʻouka kaua. Ma kēia ala, hoʻopaʻa ʻia nā ʻāpana komo o nā mea hoʻohana lawelawe e hoʻohana ana i ka papa Identity a me ka hoʻokomo ʻana i kahi mana koʻikoʻi o ka hale waihona mea hoʻomaha. hiʻohiʻona ma ke ʻano he hilinaʻi i nā pūʻolo Ruby kaulana, me ka ast (64 miliona hoʻoiho), oauth (32 miliona), fastlane (18 miliona), a me kubeclient (3.7 miliona).

Eia kekahi, ua hoʻohui ʻia kahi backdoor i ke code, e ʻae ana i ke code Ruby arbitrary e hoʻokō ʻia ma o ka hana eval. Hoʻouna ʻia ke code ma o kahi Kuki i hōʻoia ʻia e ke kī o ka mea hoʻouka. No ka hoʻomaopopoʻana i ka poʻe hoʻouka kaua e pili ana i ka hoʻokomoʻana i kahi pōʻaiʻino ma kahi pūnaewele waho, ua hoʻounaʻia ka URL o ka pūnaewele o ka mea i pepehiʻia a me kahi koho o kaʻike e pili ana i ke kaiapuni, e like me nā hua'ōlelo i mālamaʻia no ka DBMS a me nā lawelawe kapua. Ua hoʻopaʻa ʻia nā hoʻāʻo e hoʻoiho i nā palapala no ka mining cryptocurrency me ka hoʻohana ʻana i ka code malicious i ʻōlelo ʻia ma luna.

Ma hope o ke aʻo ʻana i ka code malicious ʻo ia hōʻike ʻiaaia nā loli like i loko 10 pūʻolo ma Ruby Gems, ʻaʻole i hopu ʻia, akā ua hoʻomākaukau kūikawā ʻia e ka poʻe hoʻouka kaua e pili ana i nā hale waihona puke kaulana ʻē aʻe me nā inoa like, kahi i hoʻololi ʻia ai ka dash me kahi underscore a i ʻole ka hoʻololi ʻana (no ka laʻana, ma muli o cron-parser Ua hana ʻia kahi pōʻai ʻino cron_parser, a ma muli o doge_coin doge-coin pōʻai ʻino). Nā pūʻolo pilikia:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-coin: 1.0.2
• kala-kapistrano: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• hele koke: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Ua hoʻopuka ʻia ka pōʻai hewa mua mai kēia papa inoa ma Mei 12, akā ʻo ka hapa nui o lākou i hōʻike ʻia i Iulai. I ka huina, ua hoʻoiho ʻia kēia mau pūʻolo ma kahi o 2500 mau manawa.

Source: opennet.ru