Π 25 Juni rilis paket permata Strong_password 0.7 owah gingsir (), ngundhuh lan ngeksekusi kode eksternal sing dikontrol dening panyerang sing ora dingerteni, sing di-host ing layanan Pastebin. Jumlah total unduhan proyek kasebut yaiku 247 ewu, lan versi 0.6 udakara 38 ewu. Kanggo versi angkoro, jumlah undhuhan kadhaptar minangka 537, nanging ora jelas kepiye akurat, amarga rilis iki wis dibusak saka Ruby Gems.
Pustaka Strong_password nyedhiyakake alat kanggo mriksa kekuwatan sandhi sing ditemtokake dening pangguna nalika registrasi.
nggunakake paket Strong_password think_feel_do_engine (65 ewu unduhan), think_feel_do_dashboard (15 ewu unduhan) lan
superhosting (1.5 ewu). Kacathet yen owah-owahan angkoro ditambahake dening wong sing ora dingerteni sing ngrebut repositori saka penulis.
Kode jahat iki mung ditambahake menyang RubyGems.org, project iki ora kena pengaruh. Masalah kasebut diidentifikasi sawise salah sawijining pangembang, sing nggunakake Strong_password ing proyeke, wiwit ngerteni kenapa owah-owahan pungkasan ditambahake ing gudang luwih saka 6 wulan kepungkur, nanging rilis anyar muncul ing RubyGems, diterbitake atas jenenge sing anyar. maintainer, bab kang ora tau krungu sadurunge aku ora krungu apa-apa.
Penyerang bisa nglakokake kode sewenang-wenang ing server nggunakake versi Strong_password sing bermasalah. Nalika masalah karo Pastebin dideteksi, script dimuat kanggo mbukak sembarang kode liwati klien liwat Cookie "__id" lan dienkode nggunakake cara Base64. Kode angkoro uga ngirim paramèter saka host sing varian Strong_password angkoro diinstal menyang server sing dikontrol dening panyerang.
Source: opennet.ru