В 25-р сарын 0.7-ны эрдэнийн багц Strong_password XNUMX хувилбар хорлонтой өөрчлөлт (), Pastebin үйлчилгээнд байршуулсан үл мэдэгдэх халдагчийн удирддаг гадаад кодыг татаж авах, гүйцэтгэх. Төслийн нийт татан авалтын тоо 247 мянга, 0.6 хувилбар нь 38 мянга орчим байна. Хортой хувилбарын хувьд татан авалтын тоог 537 гэж жагсаасан боловч энэ хувилбар нь Ruby Gems-ээс хасагдсан тул энэ нь хэр үнэн зөв болох нь тодорхойгүй байна.
Strong_password номын сан нь хэрэглэгчийн бүртгүүлэх явцад заасан нууц үгийн бат бөх байдлыг шалгах хэрэгслээр хангадаг.
Strong_password багцуудыг ашиглан think_feel_do_engine (65 мянган татагдсан), Think_feel_do_dashboard (15 мянган татагдсан) болон
супер хостинг (1.5 мянга). Хорлонтой өөрчлөлтийг үл мэдэгдэх этгээд оруулсан бөгөөд хадгалагчийн хяналтыг зохиогчоос булаан авсан гэж тэмдэглэжээ.
Хортой кодыг зөвхөн RubyGems.org сайтад нэмсэн. төсөл нөлөөлөөгүй. Төсөлдөө Strong_password ашигладаг хөгжүүлэгчдийн нэг нь яагаад хамгийн сүүлийн өөрчлөлтийг хадгалах газарт нэмсэнийг 6 сар гаруйн өмнө олж мэдсэний дараа асуудал тодорхойлогдсон боловч RubyGems дээр шинэ хувилбарын нэрийн өмнөөс нийтлэгдсэн шинэ хувилбар гарч ирэв. Өмнө нь хэн ч сонсож байгаагүй, би юу ч сонссонгүй.
Халдагчид Strong_password-ийн асуудалтай хувилбарыг ашиглан серверүүд дээр дурын код ажиллуулж болно. Pastebin-тэй холбоотой асуудал илэрсэн үед "__id" күүкигээр дамжуулан үйлчлүүлэгчийн дамжуулсан аливаа кодыг ажиллуулах скриптийг ачаалж, Base64 аргыг ашиглан кодлосон. Хортой код нь мөн хортой Strong_password хувилбарыг суулгасан хостын параметрүүдийг халдагчийн удирддаг сервер рүү илгээсэн.
Эх сурвалж: opennet.ru