Π Juni 25 kutolewa kwa kifurushi cha vito Strong_password 0.7 mabadiliko mabaya (), kupakua na kutekeleza msimbo wa nje unaodhibitiwa na mshambuliaji asiyejulikana, aliyepangishwa kwenye huduma ya Pastebin. Idadi ya upakuaji wa mradi huo ni elfu 247, na toleo la 0.6 ni karibu 38. Kwa toleo hasidi, idadi ya vipakuliwa imeorodheshwa kama 537, lakini haijulikani jinsi hii ni sahihi, ikizingatiwa kuwa toleo hili tayari limeondolewa kwenye Ruby Gems.
Maktaba ya Strong_password hutoa zana za kuangalia nguvu ya nenosiri lililobainishwa na mtumiaji wakati wa usajili.
kwa kutumia vifurushi vya Strong_password think_feel_do_engine (vipakuliwa elfu 65), think_feel_do_dashibodi (vipakuliwa elfu 15) na
mwenyeji mkuu (1.5 elfu). Imebainika kuwa mabadiliko hayo mabaya yaliongezwa na mtu asiyejulikana ambaye alichukua udhibiti wa hazina kutoka kwa mwandishi.
Nambari mbovu iliongezwa kwa RubyGems.org pekee, mradi haukuathiriwa. Shida iligunduliwa baada ya mmoja wa watengenezaji, ambaye anatumia Strong_password katika miradi yake, alianza kujua kwa nini mabadiliko ya mwisho yaliongezwa kwenye hazina zaidi ya miezi 6 iliyopita, lakini toleo jipya lilionekana kwenye RubyGems, iliyochapishwa kwa niaba ya mpya. mtunzaji, ambaye hakuna mtu aliyesikia habari zake kabla sijasikia chochote.
Mshambulizi anaweza kutekeleza msimbo kiholela kwenye seva kwa kutumia toleo lenye matatizo la Strong_password. Tatizo la Pastebin lilipogunduliwa, hati ilipakiwa ili kutekeleza msimbo wowote uliopitishwa na mteja kupitia Kidakuzi "__id" na kusimba kwa kutumia mbinu ya Base64. Msimbo hasidi pia ulituma vigezo vya seva pangishi ambapo lahaja hasidi ya Strong_password ilisakinishwa kwa seva inayodhibitiwa na mvamizi.
Chanzo: opennet.ru