Откриена е замена на малициозен код во пакетот Ruby Strong_password

В објавено 25 јуни објавување на пакетот скапоцен камен Strong_password 0.7 откриени злонамерна промена (CVE-2019-13354), преземање и извршување на надворешен код контролиран од непознат напаѓач, хостиран на услугата Pastebin. Вкупниот број на преземања на проектот е 247 илјади, а верзијата 0.6 е околу 38 илјади. За злонамерната верзија, бројот на преземања е наведен како 537, но не е јасно колку е точно тоа, имајќи предвид дека ова издание е веќе отстрането од Ruby Gems.

Библиотеката Strong_password обезбедува алатки за проверка на јачината на лозинката одредена од корисникот за време на регистрацијата.
Меѓу користејќи ги пакетите Strong_password think_feel_do_engine (65 илјади преземања), think_feel_do_dashboard (15 илјади преземања) и
суперхостинг (1.5 илјади). Забележано е дека злонамерната промена била додадена од непознато лице кое ја одзело контролата врз складиштето од авторот.

Злонамерниот код беше додаден само на RubyGems.org, Git складиште проектот не беше засегнат. Проблемот беше идентификуван откако еден од програмерите, кој користи Strong_password во неговите проекти, почна да сфаќа зошто последната промена е додадена во складиштето пред повеќе од 6 месеци, но ново издание се појави на RubyGems, објавено во име на нов одржувач, за кој никој претходно не слушнал, јас ништо не слушнав.

Напаѓачот може да изврши произволен код на серверите користејќи ја проблематичната верзија на Strong_password. Кога беше откриен проблем со Pastebin, беше вчитана скрипта за извршување на кој било код што го донел клиентот преку колачето „__id“ и е кодиран со методот Base64. Злонамерниот код исто така испрати параметри на домаќинот на кој беше инсталирана злонамерната варијанта Strong_password на сервер контролиран од напаѓачот.

Извор: opennet.ru