Koodh xaasidnimo ah ayaa laga helay nasasho-macmiil iyo 10 kale oo xirmo Ruby ah

In xirmo jawharad caan ah nasasho-macmiil, oo leh wadar dhan 113 milyan la soo dejiyey, la aqoonsaday Beddelka koodka xaasidnimada ah (CVE-2019-15224) kaas oo soo dejinaya amarada la fulin karo una soo diraya macluumaadka martigeliyaha dibadda. Weerarka ayaa lagu qaaday tanaasulka koontada horumariyaha rest-client ee kaydka rubygems.org, ka dib weeraryahanadu waxay daabaceen sii daynta 13-14 Agoosto 1.6.10 iyo 1.6.13, kuwaas oo ay ku jiraan isbeddello xaasidnimo ah. Ka hor inta aan la xannibin noocyada xaasidnimada ah, ilaa kun isticmaale ayaa u suurtagashay inay soo dejiyaan (Weerarayaashu waxay sii daayeen cusboonaysiinta noocyadii hore si aysan u soo jiidan dareenka).

Isbeddelka xaasidnimada leh ayaa meesha ka saaraya habka "#authenticate" ee fasalka
Aqoonsiga, ka dib hab kasta oo wicitaanku wuxuu ku yimaadaa iimaylka iyo erayga sirta ah ee la soo diray inta lagu guda jiro isku dayga xaqiijinta ee loo dirayo martida weerarka. Sidan, xuduudaha gelitaanka ee isticmaalayaasha adeegga ee isticmaalaya fasalka aqoonsiga iyo rakibida nooca nugul ee maktabadda macmiilka ayaa la xannibay, kuwaas oo soo muuqday sida ku tiirsanaanta xirmooyin badan oo caan ah Ruby, oo ay ku jiraan ast (64 milyan oo la soo dejiyo), oauth (32 milyan), fastlane (18 milyan), iyo kubeclient (3.7 milyan).

Intaa waxaa dheer, albaabka dambe ayaa lagu daray koodhka, taas oo u oggolaanaysa koodhka Ruby ee aan loo baahnayn in lagu fuliyo shaqada eval. Koodhka waxa lagu kala qaadaa Kukiy uu cadeyay furaha weerarka. Si loogu wargaliyo kuwa wax weeraray ku rakibidda xirmo xaasidnimo ah martigeliyaha dibadda, URL nidaamka dhibbanaha iyo xulashada macluumaadka ku saabsan deegaanka, sida furaha sirta ah ee DBMS iyo adeegyada daruuraha, ayaa la soo diraa. Isku dayga lagu soo dejiyo qoraalada macdanta cryptocurrency ayaa la duubay iyadoo la adeegsanayo koodka xaasidnimada ah ee kor ku xusan.

Ka dib markii aad baratay code xaasidnimo waxay ahayd kashifayin isbedelada la midka ah ay ku jiraan 10 xirmo ee Ruby Gems, kuwaas oo aan la qaban, laakiin si gaar ah loogu diyaariyey weeraryahano ku salaysan maktabado kale oo caan ah oo magacyo la mid ah, kuwaas oo xariiqda lagu beddelay hoosta ama lid ku ah (tusaale, ku salaysan cron-parser xirmo xaasidnimo ah cron_parser ayaa la sameeyay, oo ku salaysan doge_coin doge-coin xirmo xaasidnimo ah). Xirmooyinka dhibaatada:

• qadaadiic_saldhig: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• cajiib-bot: 1.18.0
• doge-coin: 1.0.2
• midabada capistrano: 0.5.5
• bitcoin_wax aan waxba tarayn: 4.3.3
• lita_coin: 0.0.3
• soo socda-soo dhow: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Xirmadii xaasidnimo ee ugu horreysay ee liiskan waxaa la dhajiyay Maajo 12, laakiin intooda badan waxay soo baxeen bishii Luulyo. Wadar ahaan, xirmooyinkan waxaa la soo dejiyay ilaa 2500 jeer.

Source: opennet.ru