Π Keluaran pada 25 Jun pakej permata Strong_password 0.7 perubahan jahat (), memuat turun dan melaksanakan kod luaran yang dikawal oleh penyerang yang tidak diketahui, dihoskan pada perkhidmatan Pastebin. Jumlah muat turun projek itu ialah 247 ribu, dan versi 0.6 adalah kira-kira 38 ribu. Untuk versi berniat jahat, bilangan muat turun disenaraikan sebagai 537, tetapi tidak jelas sejauh mana ketepatannya, memandangkan keluaran ini telah dialih keluar daripada Ruby Gems.
Pustaka Strong_password menyediakan alat untuk menyemak kekuatan kata laluan yang ditentukan oleh pengguna semasa pendaftaran.
menggunakan pakej Strong_password think_feel_do_engine (65 ribu muat turun), think_feel_do_dashboard (15 ribu muat turun) dan
superhosting (1.5 ribu). Adalah diperhatikan bahawa perubahan berniat jahat itu telah ditambah oleh orang yang tidak dikenali yang merampas kawalan repositori daripada pengarang.
Kod hasad telah ditambahkan hanya pada RubyGems.org, projek itu tidak terjejas. Masalahnya dikenal pasti selepas salah seorang pembangun, yang menggunakan Strong_password dalam projeknya, mula memikirkan mengapa perubahan terakhir telah ditambahkan pada repositori lebih daripada 6 bulan yang lalu, tetapi keluaran baharu muncul di RubyGems, diterbitkan bagi pihak yang baharu penyelenggara, yang tidak pernah didengar oleh sesiapa sebelum ini saya tidak mendengar apa-apa.
Penyerang boleh melaksanakan kod arbitrari pada pelayan menggunakan versi Strong_password yang bermasalah. Apabila masalah dengan Pastebin dikesan, skrip telah dimuatkan untuk menjalankan sebarang kod yang diluluskan oleh klien melalui Cookie "__id" dan dikodkan menggunakan kaedah Base64. Kod hasad juga menghantar parameter hos yang varian Strong_password hasad telah dipasang ke pelayan yang dikawal oleh penyerang.
Sumber: opennet.ru