rest-client жана башка 10 Ruby пакетинде зыяндуу код аныкталды

Популярдуу асыл таш пакетинде эс-кардар, жалпысынан 113 миллион жүктөп алуу менен, аныкталган Аткарылуучу буйруктарды жүктөөчү жана тышкы хостко маалымат жөнөтүүчү зыяндуу кодду (CVE-2019-15224) алмаштыруу. Кол салуу аркылуу ишке ашырылган компромисс rubygems.org репозиторийинде иштеп чыгуучунун аккаунту rest-client, андан кийин чабуулчулар 13 жана 14-августта зыяндуу өзгөртүүлөрдү камтыган 1.6.10-1.6.13 релиздерин жарыялашкан. Зыяндуу версияларга бөгөт коюлганга чейин миңге жакын колдонуучу аларды жүктөп алууга жетишкен (чабуулчулар көңүл бурбоо үчүн эски версияларга жаңыртууларды чыгарышкан).

Зыяндуу өзгөртүү класстагы "#authenticate" ыкмасын жокко чыгарат
Идентификация, андан кийин ар бир ыкма чалуусунун натыйжасында аутентификация аракети учурунда жөнөтүлгөн электрондук почта жана сырсөз чабуулчулардын хостуна жөнөтүлөт. Ошентип, Identity классын колдонгон жана калган кардарлардын китепканасынын аялуу версиясын орнотуп жаткан кызмат колдонуучуларынын логин параметрлери кармалат, бул өзгөчөлөнгөн ast (64 миллион жүктөө), oauth (32 миллион), fastlane (18 миллион) жана kubeclient (3.7 миллион) сыяктуу көптөгөн популярдуу Ruby пакеттерине көз карандылык катары.

Кошумчалай кетсек, кодго баалоо функциясы аркылуу ыктыярдуу Ruby кодун аткарууга мүмкүндүк берүүчү бэкдор кошулду. Код чабуулчунун ачкычы менен тастыкталган Cookie аркылуу берилет. Сырткы хостто зыяндуу пакеттин орнотулушу жөнүндө чабуулчуларга маалымдоо үчүн жабырлануучунун тутумунун URL дареги жана БББ жана булут кызматтары үчүн сакталган сырсөздөр сыяктуу чөйрө жөнүндө маалыматтын тандоосу жөнөтүлөт. Криптовалютаны иштетүү үчүн скрипттерди жүктөп алуу аракеттери жогоруда айтылган зыяндуу коддун жардамы менен катталган.

Зыяндуу кодду изилдегенден кийин, бул болду ачып бергенушуга окшош өзгөрүүлөр бар экенин 10 пакет Ruby Gems-де, алар колго түшүрүлгөн эмес, бирок чабуулчулар тарабынан ушундай аталыштагы башка популярдуу китепканалардын негизинде атайын даярдалган, мында сызыкча астыңкы сызык менен алмаштырылган же тескерисинче (мисалы, cron-талдоочу зыяндуу пакет cron_parser түзүлдү жана негизделген doge_coin зыяндуу doge-coin пакети). Көйгөй топтомдор:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• керемет-бот: 1.18.0
• доге тыйын: 1.0.2
• capistrano-түстөр: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• жакында келмекчи: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Бул тизмедеги биринчи зыяндуу пакет 12-майда жарыяланган, бирок алардын көбү июлда пайда болгон. Жалпысынан бул топтомдор 2500 жолу жүктөлүп алынган.

Source: opennet.ru