В 25 маусымда Strong_password 0.7 асыл тас пакетінің шығарылымы зиянды өзгерту (), Pastebin қызметінде орналастырылған белгісіз шабуылдаушы басқаратын сыртқы кодты жүктеп алу және орындау. Жобаны жүктеп алудың жалпы саны 247 мың, ал 0.6 нұсқасы 38 мыңға жуық. Зиянды нұсқа үшін жүктеп алулар саны 537 ретінде көрсетілген, бірақ бұл шығарылымның Ruby Gems-тен жойылғанын ескерсек, бұл қаншалықты дәл екені белгісіз.
Strong_password кітапханасы тіркеу кезінде пайдаланушы көрсеткен құпия сөздің күшін тексеруге арналған құралдармен қамтамасыз етеді.
Think_feel_do_engine (65 мың жүктеп алу), Think_feel_do_dashboard (15 мың жүктеу) Strong_password пакеттерін пайдалану және
суперхостинг (1.5 мың). Зиянды өзгерісті автордан репозиторийді бақылауды тартып алған белгісіз біреу қосқаны атап өтілді.
Зиянды код тек RubyGems.org сайтына қосылды, жобаға әсер еткен жоқ. Мәселе өз жобаларында Strong_password қолданатын әзірлеушілердің бірі соңғы өзгерістің репозиторийге неліктен 6 айдан астам уақыт бұрын қосылғанын анықтай бастағаннан кейін анықталды, бірақ RubyGems-те жаңа нұсқаның атынан жарияланған жаңа шығарылым пайда болды. күтуші, ол туралы бұрын ешкім естімеген, мен ештеңе естіген жоқпын.
Шабуылдаушы Strong_password проблемалық нұсқасын пайдаланып серверлерде ерікті кодты орындай алады. Pastebin ақаулығы анықталғанда, клиент "__id" cookie файлы арқылы жіберілген және Base64 әдісі арқылы кодталған кез келген кодты іске қосу үшін сценарий жүктелді. Зиянды код сонымен қатар зиянды Strong_password нұсқасы орнатылған хост параметрлерін шабуылдаушы басқаратын серверге жіберді.
Ақпарат көзі: opennet.ru