В 25. јуна издање гем пакета Стронг_пассворд 0.7 злонамерна промена (), преузимање и извршавање екстерног кода који контролише непознати нападач, који се налази на Пастебин сервису. Укупан број преузимања пројекта је 247 хиљада, а верзија 0.6 је око 38 хиљада. За злонамерну верзију, број преузимања је наведен као 537, али није јасно колико је то тачно, с обзиром да је ово издање већ уклоњено из Руби Гемс-а.
Библиотека Стронг_пассворд пружа алате за проверу јачине лозинке коју је корисник навео приликом регистрације.
користећи Стронг_пассворд пакете тхинк_феел_до_енгине (65 хиљада преузимања), тхинк_феел_до_дасхбоард (15 хиљада преузимања) и
суперхостинг (1.5 хиљада). Напомиње се да је злонамерну промену додала непозната особа која је од аутора одузела контролу над спремиштем.
Злонамерни код је додат само на РубиГемс.орг, пројекат није био погођен. Проблем је идентификован након што је један од програмера, који користи Стронг_пассворд у својим пројектима, почео да схвата зашто је последња промена додата у спремиште пре више од 6 месеци, али се на РубиГемсу појавило ново издање, објављено у име новог одржавалац, о коме нико раније није чуо ништа нисам чуо.
Нападач би могао да изврши произвољан код на серверима користећи проблематичну верзију Стронг_пассворд. Када је откривен проблем са Пастебин-ом, учитана је скрипта за покретање било ког кода који је клијент проследио преко колачића „__ид“ и кодиран коришћењем Басе64 методе. Злонамерни код је такође послао параметре хоста на коме је инсталирана злонамерна варијанта Стронг_пассворд серверу који контролише нападач.
Извор: опеннет.ру