В Ġunju 25 rilaxx tal-pakkett gem Strong_password 0.7 bidla malizzjuża (), tniżżil u tesegwixxi kodiċi estern ikkontrollat minn attakkant mhux magħruf, ospitat fuq is-servizz Pastebin. In-numru totali ta 'dawnlowds tal-proġett huwa 247 elf, u l-verżjoni 0.6 hija madwar 38 elf. Għall-verżjoni malizzjuża, in-numru ta 'tniżżil huwa elenkat bħala 537, iżda mhuwiex ċar kemm dan huwa preċiż, peress li din ir-rilaxx diġà tneħħa minn Ruby Gems.
Il-librerija Strong_password tipprovdi għodda biex tiċċekkja s-saħħa tal-password speċifikata mill-utent waqt ir-reġistrazzjoni.
bl-użu tal-pakketti Strong_password think_feel_do_engine (65 elf download), think_feel_do_dashboard (15-il elf download) u
superhosting (1.5 elf). Ta’ min jinnota li l-bidla malizzjuża ġiet miżjuda minn persuna mhux magħrufa li ħatfet il-kontroll tar-repożitorju mingħand l-awtur.
Il-kodiċi malizzjuż ġie miżjud biss ma' RubyGems.org, il-proġett ma kienx affettwat. Il-problema ġiet identifikata wara li wieħed mill-iżviluppaturi, li juża Strong_password fil-proġetti tiegħu, beda jifhem għaliex l-aħħar bidla ġiet miżjuda mar-repożitorju aktar minn 6 xhur ilu, iżda rilaxx ġdid deher fuq RubyGems, ippubblikat f'isem ġdid. manutenzjoni, li dwaru ħadd ma kien sema qabel ma smajt xejn.
L-attakkant jista 'jesegwixxi kodiċi arbitrarju fuq servers billi juża l-verżjoni problematika ta' Strong_password. Meta nstabet problema b'Pastebin, tgħabba script biex imexxi kwalunkwe kodiċi mgħoddi mill-klijent permezz tal-Cookie "__id" u kkodifikat bl-użu tal-metodu Base64. Il-kodiċi malizzjuż bagħat ukoll parametri tal-host li fuqu ġie installat il-varjant malizzjuż Strong_password lil server ikkontrollat mill-attakkant.
Sors: opennet.ru