Рамзи зараровар дар rest-client ва 10 бастаи дигари Ruby ошкор карда шуд

Дар бастаи ганҷҳои маъмул истирохат-муштарй, бо ҳамагӣ 113 миллион зеркашӣ, муайян карда шуд Иваз кардани рамзи зараровар (CVE-2019-15224), ки фармонҳои иҷрошавандаро зеркашӣ мекунад ва маълумотро ба ҳости беруна мефиристад. Ҳамла ба воситаи он сурат гирифт созиш кардан ҳисоби таҳиякунанда rest-client дар анбори rubygems.org, ки баъд аз он ҳамлагарон релизҳои 13-14-ро дар 1.6.10 ва 1.6.13 август нашр карданд, ки тағйироти зарароварро дар бар мегиранд. Пеш аз баста шудани версияҳои зараровар, тақрибан ҳазор корбар тавонистанд онҳоро зеркашӣ кунанд (ҳамлагарон ба хотири ҷалб накардани таваҷҷӯҳ ба версияҳои кӯҳна навсозиҳо бароварданд).

Тағироти шубҳанок усули "#authenticate" -ро дар синф бекор мекунад
Шахсият, ки пас аз он ҳар як занги усул ба почтаи электронӣ ва пароле, ки ҳангоми кӯшиши аутентификатсия фиристода шудааст, ба мизбони ҳамлагарон фиристода мешавад. Бо ин роҳ, параметрҳои воридшавии корбарони хидматрасонӣ бо истифода аз синфи Identity ва насби версияи осебпазири китобхонаи боқимондаи муштариён боздошта мешаванд, ки тавсиф ҳамчун вобастагӣ аз бастаҳои маъмули Ruby, аз ҷумла ast (64 миллион боргирӣ), oauth (32 миллион), fastlane (18 миллион) ва kubeclient (3.7 миллион).

Илова бар ин, ба код як дарвозаи пуштибонӣ илова карда шудааст, ки имкон медиҳад рамзи Ruby худсарона тавассути функсияи арзёбӣ иҷро карда шавад. Рамз тавассути Cookie интиқол дода мешавад, ки бо калиди ҳамлакунанда тасдиқ шудааст. Барои огоҳ кардани ҳамлагарон дар бораи насби бастаи зараровар дар ҳости беруна, URL-и системаи ҷабрдида ва интихоби маълумот дар бораи муҳити зист, ба монанди паролҳои захирашуда барои DBMS ва хидматҳои абрӣ фиристода мешаванд. Кӯшишҳо барои зеркашии скриптҳо барои истихроҷи криптовалютӣ бо истифода аз коди зараровар дар боло қайд карда шуданд.

Пас аз омӯзиши рамзи зараровар он буд ошкор намудки чунин дигаргунихо дар 10 баста дар Ruby Gems, ки забт нашудаанд, аммо аз ҷониби ҳамлагарон махсус дар асоси дигар китобхонаҳои машҳур бо номҳои шабеҳ омода карда шудаанд, ки дар он тире бо зерхат ё баръакс иваз карда шудааст (масалан, дар асоси cron-таҳлилкунанда бастаи зараровар cron_parser таъсис дода шуд, ва дар асоси doge_coin бастаи doge-coin зараровар). Бастаҳои мушкилот:

• танга_база: 4.2.2, 4.2.1
• blockchain_wallet: 0.0.6, 0.0.7
• олиҷаноб-бот: 1.18.0
• танга доге: 1.0.2
• рангҳои капистрано: 0.5.5
• bitcoin_vanity: 4.3.3
• lita_coin: 0.0.3
• ба зудӣ: 0.2.8
• omniauth_amazon: 1.0.1
• cron_parser: 1.0.12, 1.0.13, 0.1.4

Аввалин бастаи зараровар аз ин рӯйхат рӯзи 12 май нашр шуд, вале аксари онҳо дар моҳи июл пайдо шуданд. Дар маҷмӯъ, ин бастаҳо тақрибан 2500 маротиба зеркашӣ карда шуданд.

Манбаъ: opennet.ru