В ಜೂನ್ 25 ರಂದು ಜೆಮ್ ಪ್ಯಾಕೇಜ್ Strong_password 0.7 ಬಿಡುಗಡೆ ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆ (), ಪೇಸ್ಟ್ಬಿನ್ ಸೇವೆಯಲ್ಲಿ ಹೋಸ್ಟ್ ಮಾಡಲಾದ ಅಪರಿಚಿತ ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಬಾಹ್ಯ ಕೋಡ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವುದು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು. ಯೋಜನೆಯ ಒಟ್ಟು ಡೌನ್ಲೋಡ್ಗಳ ಸಂಖ್ಯೆ 247 ಸಾವಿರ, ಮತ್ತು ಆವೃತ್ತಿ 0.6 ಸುಮಾರು 38 ಸಾವಿರ. ದುರುದ್ದೇಶಪೂರಿತ ಆವೃತ್ತಿಗಾಗಿ, ಡೌನ್ಲೋಡ್ಗಳ ಸಂಖ್ಯೆಯನ್ನು 537 ಎಂದು ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ, ಆದರೆ ಇದು ಎಷ್ಟು ನಿಖರವಾಗಿದೆ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ, ಈ ಬಿಡುಗಡೆಯನ್ನು ಈಗಾಗಲೇ ರೂಬಿ ಜೆಮ್ಸ್ನಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ.
Strong_password ಲೈಬ್ರರಿಯು ನೋಂದಣಿ ಸಮಯದಲ್ಲಿ ಬಳಕೆದಾರರು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಪಾಸ್ವರ್ಡ್ನ ಬಲವನ್ನು ಪರಿಶೀಲಿಸಲು ಪರಿಕರಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ.
Strong_password ಪ್ಯಾಕೇಜುಗಳನ್ನು think_feel_do_engine (65 ಸಾವಿರ ಡೌನ್ಲೋಡ್ಗಳು), think_feel_do_dashboard (15 ಸಾವಿರ ಡೌನ್ಲೋಡ್ಗಳು) ಮತ್ತು
ಸೂಪರ್ ಹೋಸ್ಟಿಂಗ್ (1.5 ಸಾವಿರ). ಲೇಖಕರಿಂದ ರೆಪೊಸಿಟರಿಯ ನಿಯಂತ್ರಣವನ್ನು ವಶಪಡಿಸಿಕೊಂಡ ಅಪರಿಚಿತ ವ್ಯಕ್ತಿಯಿಂದ ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ ಎಂದು ಗಮನಿಸಲಾಗಿದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು RubyGems.org ಗೆ ಮಾತ್ರ ಸೇರಿಸಲಾಗಿದೆ, ಯೋಜನೆಯು ಪರಿಣಾಮ ಬೀರಲಿಲ್ಲ. ತನ್ನ ಪ್ರಾಜೆಕ್ಟ್ಗಳಲ್ಲಿ Strong_password ಅನ್ನು ಬಳಸುವ ಡೆವಲಪರ್ಗಳಲ್ಲಿ ಒಬ್ಬರು, 6 ತಿಂಗಳ ಹಿಂದೆ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಕೊನೆಯ ಬದಲಾವಣೆಯನ್ನು ಏಕೆ ಸೇರಿಸಲಾಗಿದೆ ಎಂದು ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ ಸಮಸ್ಯೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಆದರೆ ಹೊಸ ಬಿಡುಗಡೆಯ ಪರವಾಗಿ ಪ್ರಕಟಿಸಲಾದ RubyGems ನಲ್ಲಿ ಹೊಸ ಬಿಡುಗಡೆ ಕಾಣಿಸಿಕೊಂಡಿತು. ನಿರ್ವಾಹಕರು, ಅವರ ಬಗ್ಗೆ ಯಾರೂ ಮೊದಲು ಕೇಳಲಿಲ್ಲ, ನಾನು ಏನನ್ನೂ ಕೇಳಲಿಲ್ಲ.
ದಾಳಿಕೋರರು Strong_password ನ ಸಮಸ್ಯಾತ್ಮಕ ಆವೃತ್ತಿಯನ್ನು ಬಳಸಿಕೊಂಡು ಸರ್ವರ್ಗಳಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ಪೇಸ್ಟ್ಬಿನ್ನೊಂದಿಗೆ ಸಮಸ್ಯೆ ಪತ್ತೆಯಾದಾಗ, ಕ್ಲೈಂಟ್ನಿಂದ ಕುಕಿ "__id" ಮೂಲಕ ರವಾನಿಸಲಾದ ಯಾವುದೇ ಕೋಡ್ ಅನ್ನು ರನ್ ಮಾಡಲು ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು Base64 ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಎನ್ಕೋಡ್ ಮಾಡಲಾಗಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಆಕ್ರಮಣಕಾರರಿಂದ ನಿಯಂತ್ರಿಸಲ್ಪಡುವ ಸರ್ವರ್ಗೆ ದುರುದ್ದೇಶಪೂರಿತ Strong_password ರೂಪಾಂತರವನ್ನು ಸ್ಥಾಪಿಸಿದ ಹೋಸ್ಟ್ನ ನಿಯತಾಂಕಗಳನ್ನು ಸಹ ಕಳುಹಿಸಿದೆ.
ಮೂಲ: opennet.ru