В Juni Verëffentlechung vum Gem Package Strong_password 25 béiswëlleg Ännerung (), den externen Code eroflueden an ausféieren, deen vun engem onbekannten Ugräifer kontrolléiert gëtt, am Pastebin Service gehost. D'Gesamtzuel vun den Downloads vum Projet ass 247 Tausend, an d'Versioun 0.6 ass ongeféier 38 Tausend. Fir déi béiswëlleg Versioun ass d'Zuel vun den Downloads als 537 opgezielt, awer et ass net kloer wéi genau dëst ass, well dës Verëffentlechung scho vu Ruby Gems geläscht gouf.
D'Strong_password Bibliothéik bitt Tools fir d'Stäerkt vum Passwuert ze kontrolléieren, deen de Benotzer während der Registréierung spezifizéiert.
mat de Strong_password Packagen think_feel_do_engine (65 dausend Downloads), think_feel_do_dashboard (15 dausend Downloads) an
superhosting (1.5 dausend). Et gëtt bemierkt datt déi béiswëlleg Ännerung vun enger onbekannter Persoun bäigefüügt gouf, déi d'Kontroll iwwer de Repository vum Auteur erfaasst huet.
De béise Code gouf nëmmen op RubyGems.org bäigefüügt, de Projet war net betraff. De Problem gouf identifizéiert nodeems ee vun den Entwéckler, deen Strong_password a senge Projete benotzt, ugefaang erauszefannen, firwat déi lescht Ännerung am Repository méi wéi 6 Méint bäigefüügt gouf, awer eng nei Verëffentlechung erschéngt op RubyGems, publizéiert am Numm vun enger neier Ënnerhalter, iwwer deen nach keen héieren hat, hunn ech näischt héieren.
Den Ugräifer konnt arbiträr Code op Serveren ausféieren mat der problematesch Versioun vum Strong_password. Wann e Problem mat Pastebin entdeckt gouf, gouf e Skript gelueden fir all Code auszeféieren, dee vum Client iwwer Cookie "__id" passéiert ass a mat der Base64 Method kodéiert ass. De béiswëlleg Code huet och Parameter vum Host geschéckt, op deem déi béiswëlleg Strong_password Variant op e Server installéiert ass, deen vum Ugräifer kontrolléiert gouf.
Source: opennet.ru