В 25 jen lage pake gem Strong_password 0.7 chanjman move (), telechaje ak egzekite kòd ekstèn kontwole pa yon atakè enkoni, anime sou sèvis Pastebin la. Kantite total downloads nan pwojè a se 247 mil, ak vèsyon 0.6 se sou 38 mil. Pou vèsyon an move, kantite telechajman yo ki nan lis kòm 537, men li pa klè ki jan egzat sa a se, bay sa a te deja retire nan Ruby Gems.
Bibliyotèk Strong_password bay zouti pou tcheke fòs modpas itilizatè a espesifye pandan enskripsyon an.
lè l sèvi avèk pakè Strong_password think_feel_do_engine (65 mil downloads), think_feel_do_dashboard (15 mil downloads) ak
superhosting (1.5 mil). Li te note ke chanjman an move te ajoute pa yon moun enkoni ki te sezi kontwòl nan depo a nan men otè a.
Kòd move a te ajoute sèlman nan RubyGems.org, pwojè a pa te afekte. Pwoblèm nan te idantifye apre youn nan devlopè yo, ki itilize Strong_password nan pwojè li yo, te kòmanse kalkile poukisa yo te ajoute dènye chanjman an nan repozitwa a plis pase 6 mwa de sa, men yon nouvo lage parèt sou RubyGems, pibliye sou non yon nouvo. mentèr, sou ki moun pa t 'tande anvan mwen pa t' tande anyen.
Atakè a te kapab egzekite kòd abitrè sou sèvè lè l sèvi avèk vèsyon an pwoblèm nan Strong_password. Lè yo te detekte yon pwoblèm ak Pastebin, yo te chaje yon script pou kouri nenpòt kòd kliyan an te pase atravè Cookie "__id" ak kode lè l sèvi avèk metòd Base64 la. Kòd la move tou voye paramèt nan lame a sou ki move Variant Strong_password la te enstale sou yon sèvè kontwole pa atakè a.
Sous: opennet.ru