В జూన్ 25న జెమ్ ప్యాకేజీ Strong_password 0.7 విడుదల హానికరమైన మార్పు (), పేస్ట్బిన్ సేవలో హోస్ట్ చేయబడిన తెలియని అటాకర్ ద్వారా నియంత్రించబడే బాహ్య కోడ్ని డౌన్లోడ్ చేయడం మరియు అమలు చేయడం. ప్రాజెక్ట్ యొక్క మొత్తం డౌన్లోడ్ల సంఖ్య 247 వేలు, మరియు వెర్షన్ 0.6 సుమారు 38 వేలు. హానికరమైన సంస్కరణ కోసం, డౌన్లోడ్ల సంఖ్య 537గా జాబితా చేయబడింది, అయితే ఇది ఎంత ఖచ్చితమైనదో స్పష్టంగా లేదు, ఈ విడుదల ఇప్పటికే రూబీ జెమ్స్ నుండి తీసివేయబడింది.
Strong_password లైబ్రరీ నమోదు సమయంలో వినియోగదారు పేర్కొన్న పాస్వర్డ్ యొక్క బలాన్ని తనిఖీ చేయడానికి సాధనాలను అందిస్తుంది.
Strong_password ప్యాకేజీలు think_feel_do_engine (65 వేల డౌన్లోడ్లు), Think_feel_do_dashboard (15 వేల డౌన్లోడ్లు) మరియు
సూపర్ హోస్టింగ్ (1.5 వేలు). రచయిత నుండి రిపోజిటరీపై నియంత్రణను స్వాధీనం చేసుకున్న తెలియని వ్యక్తి ద్వారా హానికరమైన మార్పు జోడించబడిందని గుర్తించబడింది.
హానికరమైన కోడ్ RubyGems.orgకి మాత్రమే జోడించబడింది, ప్రాజెక్ట్ ప్రభావితం కాలేదు. తన ప్రాజెక్ట్లలో Strong_passwordని ఉపయోగించే డెవలపర్లలో ఒకరు 6 నెలల క్రితం రిపోజిటరీకి చివరి మార్పు ఎందుకు జోడించబడిందో గుర్తించడం ప్రారంభించిన తర్వాత సమస్య గుర్తించబడింది, అయితే కొత్త దాని తరపున ప్రచురించబడిన RubyGemsలో కొత్త విడుదల కనిపించింది. మెయింటెయినర్, ఇంతకు ముందు ఎవరూ వినని వారి గురించి నేను ఏమీ వినలేదు.
దాడి చేసే వ్యక్తి Strong_password యొక్క సమస్యాత్మక సంస్కరణను ఉపయోగించి సర్వర్లపై ఏకపక్ష కోడ్ని అమలు చేయవచ్చు. పేస్ట్బిన్తో సమస్య గుర్తించబడినప్పుడు, క్లయింట్ ద్వారా కుకీ "__id" ద్వారా పంపబడిన ఏదైనా కోడ్ని అమలు చేయడానికి స్క్రిప్ట్ లోడ్ చేయబడింది మరియు Base64 పద్ధతిని ఉపయోగించి ఎన్కోడ్ చేయబడింది. హానికరమైన కోడ్ హానికరమైన Strong_password వేరియంట్ ఇన్స్టాల్ చేయబడిన హోస్ట్ యొక్క పారామితులను దాడి చేసేవారిచే నియంత్రించబడే సర్వర్కు కూడా పంపింది.
మూలం: opennet.ru