В 25. júní útgáfa af gem pakkanum Strong_password 0.7 illgjarn breyting (), að hlaða niður og keyra utanaðkomandi kóða stjórnað af óþekktum árásarmanni, hýst á Pastebin þjónustunni. Heildarfjöldi niðurhala á verkefninu er 247 þúsund og útgáfa 0.6 er um 38 þúsund. Fyrir illgjarna útgáfuna er fjöldi niðurhala skráður sem 537, en það er ekki ljóst hversu nákvæm þetta er, í ljósi þess að þessi útgáfa hefur þegar verið fjarlægð úr Ruby Gems.
Strong_password bókasafnið býður upp á verkfæri til að athuga styrk lykilorðsins sem notandinn tilgreinir við skráningu.
með því að nota Strong_password pakkana think_feel_do_engine (65 þúsund niðurhal), think_feel_do_dashboard (15 þúsund niðurhal) og
ofurhýsing (1.5 þúsund). Það er tekið fram að illgjarn breytingin var bætt við af óþekktum aðila sem tók völdin yfir geymslunni af höfundi.
Skaðlegum kóða var aðeins bætt við RubyGems.org, verkefnið varð ekki fyrir áhrifum. Vandamálið kom í ljós eftir að einn af þróunaraðilum, sem notar Strong_password í verkefnum sínum, byrjaði að átta sig á hvers vegna síðustu breytingu var bætt við geymsluna fyrir meira en 6 mánuðum síðan, en ný útgáfa birtist á RubyGems, gefin út fyrir hönd nýs viðhaldsaðili, sem enginn hafði heyrt um áður, ég heyrði ekki neitt.
Árásarmaðurinn gæti keyrt handahófskenndan kóða á netþjónum með því að nota erfiðu útgáfuna af Strong_password. Þegar vandamál með Pastebin fannst, var skriftu hlaðið til að keyra hvaða kóða sem viðskiptavinurinn sendi í gegnum köku „__id“ og kóðuð með Base64 aðferðinni. Skaðlegi kóðinn sendi einnig færibreytur hýsilsins sem illgjarn Strong_password afbrigðið var sett upp á á netþjón sem stjórnað er af árásarmanninum.
Heimild: opennet.ru