В 25 Juni sékrési pakét permata Strong_password 0.7 parobahan jahat (), ngundeur sareng ngalaksanakeun kode éksternal anu dikontrol ku panyerang anu teu dipikanyaho, di-host dina jasa Pastebin. Jumlah total unduhan proyék nyaéta 247 rébu, sareng versi 0.6 sakitar 38 rébu. Pikeun versi jahat, jumlah undeuran kadaptar salaku 537, tapi teu jelas kumaha akurat ieu, nunjukkeun yen release ieu geus dihapus tina Ruby Gems.
Perpustakaan Strong_password nyayogikeun alat pikeun mariksa kakuatan sandi anu ditunjuk ku pangguna nalika pendaptaran.
ngagunakeun pakét Strong_password think_feel_do_engine (65 rébu unduhan), think_feel_do_dashboard (15 rébu unduhan) sareng
superhosting (1.5 rébu). Hal ieu dicatet yén parobahan jahat ieu ditambahkeun ku hiji jalma kanyahoan anu nyita kadali Repository ti pangarang.
Kode jahat ieu ngan ukur ditambahkeun kana RubyGems.org, proyék ieu teu kapangaruhan. Masalahna diidentipikasi saatos salah sahiji pamekar, anu ngagunakeun Strong_password dina proyék-proyékna, mimiti terang naha parobihan terakhir parantos ditambah kana gudang langkung ti 6 sababaraha bulan kapengker, tapi sékrési énggal muncul dina RubyGems, diterbitkeun atas nama énggal. maintainer, ngeunaan saha teu kungsi kadéngé saméméh kuring teu ngadéngé nanaon.
Panyerang tiasa ngaéksekusi kode sawenang dina server nganggo versi Strong_password anu bermasalah. Nalika masalah sareng Pastebin dideteksi, naskah dimuat pikeun ngajalankeun kode anu disalurkeun ku klien via Cookie "__id" sareng disandikeun nganggo metode Base64. Kodeu jahat ogé ngirim parameter host dimana varian Strong_password jahat dipasang ka server anu dikontrol ku panyerang.
sumber: opennet.ru