අනිෂ්ට කේතය විවේක සේවාලාභියා සහ අනෙකුත් Ruby පැකේජ 10 ක් තුළ අනාවරණය විය

ජනප්‍රිය මැණික් පැකේජයක විවේක සේවාදායකයා, සම්පූර්ණ බාගත කිරීම් මිලියන 113ක් සමඟ, හඳුනාගෙන ඇත ක්‍රියාත්මක කළ හැකි විධාන බාගත කර බාහිර ධාරකයකට තොරතුරු යවන අනිෂ්ට කේතය (CVE-2019-15224) ආදේශ කිරීම. හරහා ප්‍රහාරය එල්ල කර ඇත සම්මුතිය rubygems.org ගබඩාවේ සංවර්ධක ගිණුම් විවේක සේවාලාභියා, ඉන් පසුව ප්‍රහාරකයින් 13-14 නිකුතු අගෝස්තු 1.6.10 සහ 1.6.13 යන දිනවල ප්‍රකාශයට පත් කළ අතර, එයට අනිෂ්ට වෙනස්කම් ඇතුළත් විය. අනිෂ්ට අනුවාද අවහිර කිරීමට පෙර, පරිශීලකයින් දහසක් පමණ ඒවා බාගත කිරීමට සමත් විය (ප්‍රහාරකයන් අවධානය ආකර්ෂණය කර නොගැනීම සඳහා පැරණි අනුවාදවලට යාවත්කාලීන නිකුත් කළේය).

අනිෂ්ට වෙනස් කිරීම පන්තියේ "#සත්‍යාපනය" ක්‍රමය අභිබවා යයි
අනන්‍යතාවය, එක් එක් ක්‍රම ඇමතුම් ප්‍රතිඵලයක් ලෙස සත්‍යාපනය කිරීමේ උත්සාහයේදී යවන ලද විද්‍යුත් තැපෑල සහ මුරපදය ප්‍රහාරකයන්ගේ සත්කාරක වෙත යවනු ලැබේ. මේ ආකාරයෙන්, අනන්‍යතා පන්තිය භාවිතා කරන සේවා පරිශීලකයින්ගේ පිවිසුම් පරාමිතීන් සහ විවේක සේවාලාභී පුස්තකාලයේ අවදානමට ලක්විය හැකි අනුවාදයක් ස්ථාපනය කිරීම අවහිර කරනු ලැබේ. විශේෂාංග ast (බාගැනීම් මිලියන 64), oauth (මිලියන 32), fastlane (මිලියන 18) සහ kubeclient (මිලියන 3.7) ඇතුළු බොහෝ ජනප්‍රිය Ruby පැකේජ වල යැපීම ලෙස.

ඊට අමතරව, eval ශ්‍රිතය හරහා අත්තනෝමතික Ruby කේතය ක්‍රියාත්මක කිරීමට ඉඩ සලසමින්, කේතයට පසුබිම් දොරක් එක් කර ඇත. කේතය ප්‍රහාරකයාගේ යතුර මගින් සහතික කරන ලද කුකී හරහා සම්ප්‍රේෂණය වේ. බාහිර ධාරකයක අනිෂ්ට පැකේජයක් ස්ථාපනය කිරීම පිළිබඳව ප්‍රහාරකයන්ට දැනුම් දීමට, වින්දිතයාගේ පද්ධතියේ URL සහ DBMS සහ Cloud සේවා සඳහා සුරකින ලද මුරපද වැනි පරිසරය පිළිබඳ තොරතුරක් යවනු ලැබේ. Cryptocurrency mining සඳහා ස්ක්‍රිප්ට් බාගත කිරීමට ගත් උත්සාහයන් ඉහත සඳහන් කළ අනිෂ්ට කේතය භාවිතයෙන් පටිගත කරන ලදී.

අනිෂ්ට කේතය අධ්යයනය කිරීමෙන් පසුව එය විය අනාවරණය කළේයසමාන වෙනස්කම් පවතින බව පැකේජ 10 ක් Ruby Gems හි, අල්ලා නොගත් නමුත්, ඒ හා සමාන නම් සහිත වෙනත් ජනප්‍රිය පුස්තකාල මත පදනම්ව ප්‍රහාරකයින් විසින් විශේෂයෙන් සකස් කරන ලද, එහි ඉරි යටින් හෝ අනෙක් අතට (උදාහරණයක් ලෙස, මත පදනම්ව) cron-parser ද්වේෂසහගත පැකේජයක් cron_parser නිර්මාණය කරන ලද අතර, එය පදනම් කර ගෙන ඇත doge_coin doge-coin අනිෂ්ට පැකේජය). ගැටළු පැකේජ:

• coin_base: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• awesome-bot: 1.18.0
• සුනඛ කාසිය: 1.0.2
• capistrano-වර්ණ: 0.5.5
• bitcoin_vanity: 4.3.3
• ලිටා_කාසිය: 0.0.3
• ඉක්මණින් පැමිණෙන: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

මෙම ලැයිස්තුවෙන් පළමු අනිෂ්ට පැකේජය මැයි 12 වන දින පළ කරන ලද නමුත් ඒවායින් බොහොමයක් ජූලි මාසයේදී දර්ශනය විය. සමස්තයක් වශයෙන්, මෙම පැකේජ 2500 වාරයක් පමණ බාගත කර ඇත.

මූලාශ්රය: opennet.ru