ناوړه کوډ په آرام پیرودونکي او 10 نورو روبي کڅوړو کې وموندل شو

په مشهور قیمتي کڅوړه کې آرام پیرودونکيپه ټولیز ډول د 113 ملیون ډاونلوډونو سره، پیژندل شوی د ناوړه کوډ بدیل (CVE-2019-15224) چې د اجرا وړ کمانډونه ډاونلوډ کوي او بهرني کوربه ته معلومات لیږي. برید د لارې په اوږدو کې ترسره شو جوړجاړی په rubygems.org ذخیره کې د پراختیا کونکي حساب آرام پیرودونکي، وروسته له هغه چې برید کونکو د اګست په 13 او 14 کې 1.6.10-1.6.13 خپرونه خپره کړه، چې ناوړه بدلونونه پکې شامل وو. مخکې له دې چې ناوړه نسخې بندې شوې وې، شاوخوا زر کاروونکي یې د ډاونلوډ کولو توان درلود (برید کوونکو د پام وړ نه کولو لپاره زړو نسخو ته تازه معلومات خپاره کړل).

ناوړه بدلون په ټولګي کې د "#authenticate" طریقه بدلوي
پیژندنه، وروسته له دې چې د هرې طریقې زنګ د بریښنالیک او پاسورډ پایله ده چې د تصدیق کولو هڅې په جریان کې د برید کونکي کوربه ته لیږل کیږي. په دې توګه، د خدماتو کاروونکو د ننوتلو پیرامیټونه د پیژندنې ټولګي کاروي او د پاتې پیرودونکي کتابتون د زیان منونکي نسخه نصب کول مداخله کیږي، کوم چې ب .ه شوی په ډیری مشهور روبي کڅوړو کې د انحصار په توګه ، پشمول ast (64 ملیون ډاونلوډونه) ، oauth (32 ملیون) ، فاسټلین (18 ملیون) ، او کیوبکلینټ (3.7 ملیون).

برسېره پردې، په کوډ کې یو شاته دروازه اضافه شوې، د خپل سري روبي کوډ ته اجازه ورکوي چې د eval فنکشن له لارې اجرا شي. کوډ د کوکي له لارې لیږدول کیږي چې د برید کونکي کیلي لخوا تصدیق شوی. په بهرني کوربه کې د ناوړه کڅوړې نصبولو په اړه برید کونکو ته خبر ورکولو لپاره ، د قرباني سیسټم URL او د چاپیریال په اړه د معلوماتو انتخاب ، لکه د DBMS او کلاوډ خدماتو لپاره خوندي شوي پاسورډونه لیږل کیږي. د کریپټو کرنسی کان کیندنې لپاره د سکریپټونو ډاونلوډ کولو هڅې د پورته ذکر شوي ناوړه کوډ په کارولو سره ثبت شوي.

د ناوړه کوډ مطالعې وروسته دا وه ښکاره شویچې ورته بدلونونه په کې شتون لري 10 کڅوړې په روبي جواهر کې، کوم چې نیول شوي ندي، مګر د ورته نومونو سره د نورو مشهور کتابتونونو پراساس د برید کونکو لخوا په ځانګړي ډول چمتو شوي، په کوم کې چې ډش د انډر سکور یا برعکس سره بدل شوی و (د مثال په توګه، پر بنسټ. cron-parser یو ناوړه کڅوړه cron_parser جوړه شوې، او پر بنسټ doge_coin doge-coin ناوړه کڅوړه). د ستونزو بسته بندي:

• coin_base4.2.2، 4.2.1
• blockchain_wallet0.0.6، 0.0.7
• په زړه پوری بوټ: 1.18.0
• doge-coin: 1.0.2
• capistrano رنګونه: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• ژر راځي: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12 ، 1.0.13 ، 0.1.4

د دې لیست څخه لومړی ناوړه کڅوړه د می په 12 کې خپره شوې وه، مګر ډیری یې د جولای په میاشت کې ښکاره شوي. په مجموع کې، دا کڅوړې شاوخوا 2500 ځله ډاونلوډ شوي.

سرچینه: opennet.ru