В Lëshimi më 25 qershor i paketës së gurëve të çmuar Strong_password 0.7 ndryshim i keq (), shkarkimi dhe ekzekutimi i kodit të jashtëm të kontrolluar nga një sulmues i panjohur, i vendosur në shërbimin Pastebin. Numri i përgjithshëm i shkarkimeve të projektit është 247 mijë, dhe versioni 0.6 është rreth 38 mijë. Për versionin me qëllim të keq, numri i shkarkimeve është renditur si 537, por nuk është e qartë se sa e saktë është kjo, duke qenë se ky version tashmë është hequr nga Ruby Gems.
Biblioteka Strong_password ofron mjete për të kontrolluar fuqinë e fjalëkalimit të specifikuar nga përdoruesi gjatë regjistrimit.
duke përdorur paketat Strong_password think_feel_do_engine (65 mijë shkarkime), think_feel_do_dashboard (15 mijë shkarkime) dhe
superhosting (1.5 mijë). Vihet re se ndryshimi me qëllim të keq është shtuar nga një person i panjohur që ka sekuestruar autorin e depove.
Kodi me qëllim të keq u shtua vetëm në RubyGems.org, projekti nuk u prek. Problemi u identifikua pasi një nga zhvilluesit, i cili përdor Strong_password në projektet e tij, filloi të kuptonte pse ndryshimi i fundit u shtua në depo më shumë se 6 muaj më parë, por një version i ri u shfaq në RubyGems, i publikuar në emër të një të ri mirëmbajtësi, për të cilin askush nuk kishte dëgjuar më parë, unë nuk dëgjova asgjë.
Sulmuesi mund të ekzekutojë kod arbitrar në serverë duke përdorur versionin problematik të Strong_password. Kur u zbulua një problem me Pastebin, ngarkohej një skript për të ekzekutuar çdo kod të kaluar nga klienti nëpërmjet Cookie "__id" dhe i koduar duke përdorur metodën Base64. Kodi me qëllim të keq dërgoi gjithashtu parametrat e hostit në të cilin ishte instaluar varianti keqdashës Strong_password në një server të kontrolluar nga sulmuesi.
Burimi: opennet.ru