Koda xerab di nav xerîdar û 10 pakêtên din ên Ruby de hate dîtin

Di pakêtek gemek populer de rest-mişterî, bi tevahî 113 mîlyon dakêşan, nas kirin Cîgirkirina koda xerab (CVE-2019-15224) ku emrên îcrakar dadixe û agahiyê ji mêvandarek derveyî re dişîne. Êrîş bi rê hatiye kirin berbatkirin Hesabê pêşdebirker rest-client di depoya rubygems.org de, piştî wê yekê êrîşkaran di 13 û 14ê Tebaxê de weşanên 1.6.10-1.6.13 weşandin, ku tê de guhertinên xerab hene. Berî ku guhertoyên xerab werin asteng kirin, bi qasî hezar bikarhêner karîn ku wan dakêşînin (êrîşkaran ji bo ku balê nekişînin nûvekirinên guhertoyên kevn berdan).

Guhertina xerab rêbaza "#authenticate" di polê de derbas dike
Nasname, piştî ku her bangek rêbazê encam dide ku e-name û şîfreya ku di dema hewildana pejirandinê de hatî şandin ji mêvandarê êrîşkaran re tê şandin. Bi vî rengî, pîvanên têketinê yên bikarhênerên karûbarê ku çîna Nasnameyê bikar tînin û guhertoyek xedar a pirtûkxaneya xerîdar-mayî saz dikin têne girtin, ku featured di gelek pakêtên Ruby yên populer de, di nav de ast (64 mîlyon dakêşandin), oauth (32 mîlyon), fastlane (18 mîlyon), û kubeclient (3.7 mîlyon) ve girêdayî ye.

Wekî din, deriyek paşde li kodê hate zêdekirin, ku dihêle ku koda Ruby ya kêfî bi fonksiyona eval ve were darve kirin. Kod bi rêya Cookie-ya ku ji hêla mifteya êrîşker ve hatî pejirandin ve tê şandin. Ji bo agahdarkirina êrîşkaran li ser sazkirina pakêtek xirab a li ser mêvandarek derveyî, URL-ya pergala mexdûr û hilbijarkek agahdariya li ser hawîrdorê, wekî şîfreyên tomarkirî yên ji bo DBMS û karûbarên ewr, têne şandin. Hewldanên dakêşana nivîsarên ji bo kanankirina pereyê krîptoyê bi karanîna koda xirab a jorîn hatine tomar kirin.

Piştî xwendina koda xerab ew bû eşkere kirinku guhertinên bi vî rengî tê de hene 10 pakêt di Ruby Gems de, ku nehatine girtin, lê bi taybetî ji hêla êrîşkaran ve li ser bingeha pirtûkxaneyên din ên populer ên bi navên mîna hev hatine amadekirin, ku tê de tîrêj bi binî an jî berevajî (mînak, li ser bingeha kron-parser pakêtek xerab cron_parser hate afirandin, û li ser doge_coin pakêta doge-coin xerab). Pakêtên pirsgirêkê:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• doge-coin: 1.0.2
• capistrano-reng: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• ji nêzda: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Yekem pakêta xerab a ji vê navnîşê di 12ê Gulanê de hate şandin, lê piraniya wan di Tîrmehê de xuya bûn. Bi tevahî, ev pakêt bi qasî 2500 caran hatine daxistin.

Source: opennet.ru