В Rilascio del 25 giugno del pacchetto gem Strong_password 0.7 cambiamento dannoso (), scaricando ed eseguendo codice esterno controllato da un utente malintenzionato sconosciuto, ospitato sul servizio Pastebin. Il numero totale di download del progetto è di 247mila e la versione 0.6 è di circa 38mila. Per la versione dannosa, il numero di download indicato è 537, ma non è chiaro quanto sia accurato, dato che questa versione è già stata rimossa da Ruby Gems.
La libreria Strong_password fornisce strumenti per verificare la robustezza della password specificata dall'utente durante la registrazione.
utilizzando i pacchetti Strong_password think_feel_do_engine (65mila download), think_feel_do_dashboard (15mila download) e
superhosting (1.5 mila). Si noti che la modifica dannosa è stata aggiunta da una persona sconosciuta che ha sottratto il controllo del repository all'autore.
Il codice dannoso è stato aggiunto solo a RubyGems.org, il progetto non è stato influenzato. Il problema è stato identificato dopo che uno degli sviluppatori, che utilizza Strong_password nei suoi progetti, ha iniziato a capire perché l'ultima modifica era stata aggiunta al repository più di 6 mesi fa, ma su RubyGems è apparsa una nuova versione, pubblicata per conto di un nuovo manutentore, di cui nessuno aveva sentito parlare prima, non ho sentito nulla.
L'aggressore potrebbe eseguire codice arbitrario sui server utilizzando la versione problematica di Strong_password. Quando è stato rilevato un problema con Pastebin, è stato caricato uno script per eseguire qualsiasi codice passato dal client tramite Cookie "__id" e codificato utilizzando il metodo Base64. Il codice dannoso ha inoltre inviato a un server controllato dall'aggressore i parametri dell'host su cui era installata la variante dannosa Strong_password.
Fonte: opennet.ru