rest-client болон бусад 10 Ruby багцад хортой код илэрсэн

Алдартай эрдэнийн багцад амрах үйлчлүүлэгч, нийт 113 сая татагдсан, тодорхойлсон Гүйцэтгэх командуудыг татаж, гадаад хост руу мэдээлэл илгээдэг хортой кодыг (CVE-2019-15224) орлуулах. Халдлагыг дамжуулан хийсэн буулт хийх rubygems.org репозитор дахь хөгжүүлэгчийн дансны rest-client, үүний дараа халдагчид 13-р сарын 14, 1.6.10-нд 1.6.13-XNUMX хувилбаруудыг нийтэлсэн бөгөөд үүнд хортой өөрчлөлт орсон. Хортой хувилбаруудыг хаахаас өмнө мянга орчим хэрэглэгчид тэдгээрийг татаж авч чадсан (халдагчид анхаарлыг татахгүйн тулд хуучин хувилбарт шинэчлэлтүүдийг гаргасан).

Хортой өөрчлөлт нь анги дахь "#authenticate" аргыг хүчингүй болгодог
Identity, дараа нь аргын дуудлагын үр дүнд таних оролдлогын үеэр илгээсэн имэйл болон нууц үг халдагчдын хост руу илгээгдэнэ. Ингэснээр Identity анги ашиглаж, үлдсэн үйлчлүүлэгчийн номын сангийн эмзэг хувилбарыг суулгаж байгаа үйлчилгээний хэрэглэгчдийн нэвтрэх параметрүүдийг таслан зогсоодог. онцолсон ast (64 сая татагдсан), oauth (32 сая), fastlane (18 сая), kubeclient (3.7 сая) зэрэг олон алдартай Ruby багцуудын хамаарал юм.

Нэмж дурдахад, кодонд арын хаалга нэмэгдсэн бөгөөд энэ нь үнэлгээний функцээр дамжуулан дурын Ruby кодыг гүйцэтгэх боломжийг олгодог. Энэ кодыг халдагчийн түлхүүрээр баталгаажуулсан күүкигээр дамжуулдаг. Гадны хост дээр хортой багц суулгасан тухай халдагчдад мэдэгдэхийн тулд хохирогчийн системийн URL болон DBMS болон үүлэн үйлчилгээнд хадгалагдсан нууц үг зэрэг орчны талаарх мэдээллийг сонгон илгээдэг. Дээр дурдсан хортой кодыг ашиглан криптовалют олборлох скриптүүдийг татаж авах оролдлого бүртгэгдсэн байна.

Хортой кодыг судалсны дараа ийм байсан илчилсэнижил төстэй өөрчлөлтүүд байна 10 багц баригдаагүй боловч зураасыг доогуур зураасаар сольсон эсвэл эсрэгээр ижил төстэй нэртэй бусад алдартай номын сангууд дээр үндэслэн халдагчид тусгайлан бэлтгэсэн Ruby Gems-д (жишээлбэл, cron-parser cron_parser хортой багцыг үүсгэсэн бөгөөд үүнд үндэслэсэн doge_coin хортой doge-coin багц). Асуудлын багцууд:

• зоос_суурь: 4.2.2, 4.2.1
• блокчейн_түрийвч: 0.0.6, 0.0.7
• гайхалтай-бот: 1.18.0
• доге зоос: 1.0.2
• капистрано өнгө: 0.5.5
• биткойн_хоосон: 4.3.3
• лита_зоос: 0.0.3
• тун удахгүй: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Энэ жагсаалтын эхний хортой багцыг 12-р сарын 2500-нд нийтэлсэн боловч ихэнх нь XNUMX-р сард гарч ирсэн. Нийтдээ эдгээр багцыг XNUMX орчим удаа татаж авсан.

Эх сурвалж: opennet.ru