В ஜூன் 25 அன்று ஜெம் தொகுப்பு Strong_password 0.7 வெளியீடு தீங்கிழைக்கும் மாற்றம் (), பேஸ்ட்பின் சேவையில் ஹோஸ்ட் செய்யப்பட்ட அறியப்படாத தாக்குபவர் மூலம் கட்டுப்படுத்தப்படும் வெளிப்புறக் குறியீட்டைப் பதிவிறக்கம் செய்து செயல்படுத்துதல். திட்டத்தின் மொத்த பதிவிறக்கங்களின் எண்ணிக்கை 247 ஆயிரம், மற்றும் பதிப்பு 0.6 சுமார் 38 ஆயிரம். தீங்கிழைக்கும் பதிப்பில், பதிவிறக்கங்களின் எண்ணிக்கை 537 என பட்டியலிடப்பட்டுள்ளது, ஆனால் இது எவ்வளவு துல்லியமானது என்பது தெளிவாகத் தெரியவில்லை, இந்த வெளியீடு ஏற்கனவே ரூபி ஜெம்ஸிலிருந்து அகற்றப்பட்டது.
Strong_password நூலகம் பதிவு செய்யும் போது பயனர் குறிப்பிட்ட கடவுச்சொல்லின் வலிமையை சரிபார்க்க கருவிகளை வழங்குகிறது.
Strong_password தொகுப்புகளை think_feel_do_engine (65 ஆயிரம் பதிவிறக்கங்கள்), think_feel_do_dashboard (15 ஆயிரம் பதிவிறக்கங்கள்) மற்றும்
சூப்பர் ஹோஸ்டிங் (1.5 ஆயிரம்). ஆசிரியரிடமிருந்து களஞ்சியத்தின் கட்டுப்பாட்டைக் கைப்பற்றிய அறியப்படாத நபரால் தீங்கிழைக்கும் மாற்றம் சேர்க்கப்பட்டது என்பது குறிப்பிடத்தக்கது.
தீங்கிழைக்கும் குறியீடு RubyGems.org இல் மட்டுமே சேர்க்கப்பட்டது, திட்டம் பாதிக்கப்படவில்லை. டெவலப்பர்களில் ஒருவர், தனது திட்டங்களில் Strong_password ஐப் பயன்படுத்தும் டெவலப்பர்களில் ஒருவர், கடந்த 6 மாதங்களுக்கு முன்பு களஞ்சியத்தில் ஏன் கடைசி மாற்றம் சேர்க்கப்பட்டது என்பதைக் கண்டுபிடிக்கத் தொடங்கிய பிறகு, சிக்கல் அடையாளம் காணப்பட்டது, ஆனால் ரூபிஜெம்ஸில் புதிய வெளியீடு தோன்றியது. பராமரிப்பாளர், இதுவரை யாரும் கேள்விப்படாத அவரைப் பற்றி நான் எதுவும் கேட்கவில்லை.
தாக்குபவர் Strong_password இன் சிக்கல் நிறைந்த பதிப்பைப் பயன்படுத்தி சர்வர்களில் தன்னிச்சையான குறியீட்டை இயக்கலாம். Pastebin இல் சிக்கல் கண்டறியப்பட்டால், குக்கீ "__id" வழியாக கிளையன்ட் அனுப்பிய எந்த குறியீட்டையும் இயக்க ஸ்கிரிப்ட் ஏற்றப்பட்டது மற்றும் Base64 முறையைப் பயன்படுத்தி குறியாக்கம் செய்யப்பட்டது. தீங்கிழைக்கும் குறியீடு, தீங்கிழைக்கும் Strong_password மாறுபாடு நிறுவப்பட்ட ஹோஸ்டின் அளவுருக்களையும் தாக்குபவர் கட்டுப்படுத்தும் சேவையகத்திற்கு அனுப்பியது.
ஆதாரம்: opennet.ru