В 25 جون رليز گيم پيڪيج Strong_password 0.7 خراب تبديلي ()، ڊائون لوڊ ڪرڻ ۽ خارجي ڪوڊ تي عمل ڪرڻ اڻڄاتل حملي ڪندڙ طرفان ڪنٽرول، Pastebin سروس تي ميزباني. پروجيڪٽ جي ڊائون لوڊ جو ڪل تعداد 247 هزار آهي، ۽ نسخو 0.6 اٽڪل 38 هزار آهي. بدسلوڪي ورزن لاءِ، ڊائون لوڊ جو تعداد 537 درج ڪيو ويو آھي، پر اھو واضح ناهي ته اھو ڪيترو صحيح آھي، ڏنو ويو آھي ته ھي رليز اڳ ۾ ئي Ruby Gems مان ھٽايو ويو آھي.
Strong_password لائبريري، رجسٽريشن دوران استعمال ڪندڙ پاران بيان ڪيل پاسورڊ جي طاقت کي جانچڻ لاءِ اوزار مهيا ڪري ٿي.
Strong_password پيڪيجز استعمال ڪندي Think_feel_do_engine (65 هزار ڊائون لوڊ)، Think_feel_do_dashboard (15 هزار ڊائون لوڊ) ۽
سپر هسٽنگ (1.5 هزار). ياد رهي ته بدسلوڪي تبديلي هڪ اڻڄاتل شخص طرفان شامل ڪئي وئي جنهن ليکڪ کان مخزن جو ڪنٽرول ضبط ڪيو.
بدسلوڪي ڪوڊ صرف RubyGems.org ۾ شامل ڪيو ويو، پروجيڪٽ متاثر نه ٿيو. مسئلو جي نشاندهي ڪئي وئي ڊولپرز مان هڪ کان پوء، جيڪو استعمال ڪري ٿو Strong_password پنهنجي منصوبن ۾، اهو ڄاڻڻ شروع ڪيو ته آخري تبديلي ڇو ته مخزن ۾ 6 مهينا کان وڌيڪ اڳ شامل ڪيو ويو، پر هڪ نئين رليز روبي گيمز تي ظاهر ٿيو، هڪ نئين طرفان شايع ٿيل. سنڀاليندڙ، جنهن جي باري ۾ ڪنهن به نه ٻڌو هو، مون ڪجهه به نه ٻڌو هو.
حملي آور Strong_password جي مشڪلاتي ورزن کي استعمال ڪندي سرورز تي صوابديدي ڪوڊ تي عمل ڪري سگھي ٿو. جڏهن Pastebin سان هڪ مسئلو معلوم ڪيو ويو، هڪ اسڪرپٽ لوڊ ڪيو ويو ڪنهن به ڪوڊ کي هلائڻ لاءِ ڪلائنٽ طرفان ڪوڪي "__id" ذريعي ۽ انڪوڊ ڪيو ويو Base64 طريقي سان. بدسلوڪي ڪوڊ ميزبان جا پيرا ميٽر پڻ موڪليا آهن جن تي بدسلوڪي Strong_password variant حملي ڪندڙ طرفان ڪنٽرول ڪيل سرور تي نصب ڪيو ويو هو.
جو ذريعو: opennet.ru