В 25. jūnija dārgakmeņu pakotnes Strong_password 0.7 izlaišana ļaunprātīgas izmaiņas (), lejupielādējot un izpildot ārēju kodu, ko kontrolē nezināms uzbrucējs un kas mitināts pakalpojumā Pastebin. Kopējais projekta lejupielāžu skaits ir 247 tūkstoši, bet versija 0.6 ir aptuveni 38 tūkstoši. Ļaunprātīgajai versijai lejupielāžu skaits ir norādīts kā 537, taču nav skaidrs, cik tas ir precīzi, ņemot vērā, ka šis laidiens jau ir noņemts no Ruby Gems.
Strong_password bibliotēka nodrošina rīkus, lai pārbaudītu paroles stiprumu, ko lietotājs norādījis reģistrācijas laikā.
izmantojot Strong_password pakotnes think_feel_do_engine (65 tūkstoši lejupielāžu), think_feel_do_dashboard (15 tūkstoši lejupielāžu) un
superhostings (1.5 tūkst.). Tiek atzīmēts, ka ļaunprātīgās izmaiņas pievienoja nezināma persona, kas pārņēma autoram kontroli pār repozitoriju.
Ļaunprātīgais kods tika pievienots tikai RubyGems.org, projekts netika ietekmēts. Problēma tika atklāta pēc tam, kad viens no izstrādātājiem, kurš savos projektos izmanto Strong_password, sāka izdomāt, kāpēc pēdējās izmaiņas krātuvei tika pievienotas vairāk nekā pirms 6 mēnešiem, bet RubyGems parādījās jauns laidiens, kas tika publicēts jauna lietotāja vārdā. uzturētājs, par kuru pirms tam neviens nebija dzirdējis neko nedzirdēju.
Uzbrucējs varētu izpildīt patvaļīgu kodu serveros, izmantojot problemātisko Strong_password versiju. Kad tika konstatēta problēma ar Pastebin, tika ielādēts skripts, lai palaistu jebkuru kodu, ko klients nosūtījis, izmantojot sīkfailu “__id”, un kodēts, izmantojot Base64 metodi. Ļaunprātīgais kods uzbrucēja kontrolētajam serverim nosūtīja arī tā resursdatora parametrus, kurā tika instalēts ļaunprātīgais Strong_password variants.
Avots: opennet.ru