Π Hunyo 25, release ng gem package Strong_password 0.7 malisyosong pagbabago (), pag-download at pagpapatupad ng panlabas na code na kinokontrol ng isang hindi kilalang umaatake, na naka-host sa serbisyo ng Pastebin. Ang kabuuang bilang ng mga pag-download ng proyekto ay 247 libo, at ang bersyon 0.6 ay humigit-kumulang 38 libo. Para sa nakakahamak na bersyon, ang bilang ng mga pag-download ay nakalista bilang 537, ngunit hindi malinaw kung gaano ito katumpak, dahil ang release na ito ay inalis na sa Ruby Gems.
Ang Strong_password library ay nagbibigay ng mga tool para sa pagsuri sa lakas ng password na tinukoy ng user sa panahon ng pagpaparehistro.
gamit ang Strong_password packages think_feel_do_engine (65 thousand downloads), think_feel_do_dashboard (15 thousand downloads) at
superhosting (1.5 libo). Nabanggit na ang malisyosong pagbabago ay idinagdag ng isang hindi kilalang tao na kinuha ang kontrol ng repositoryo mula sa may-akda.
Ang malisyosong code ay idinagdag lamang sa RubyGems.org, hindi naapektuhan ang proyekto. Natukoy ang problema matapos ang isa sa mga developer, na gumagamit ng Strong_password sa kanyang mga proyekto, ay nagsimulang malaman kung bakit ang huling pagbabago ay idinagdag sa repositoryo mahigit 6 na buwan na ang nakalipas, ngunit isang bagong release ang lumitaw sa RubyGems, na inilathala sa ngalan ng isang bagong maintainer, na walang nakarinig noon ay wala akong narinig.
Maaaring magsagawa ng arbitrary code ang attacker sa mga server gamit ang problemang bersyon ng Strong_password. Kapag may nakitang problema sa Pastebin, na-load ang isang script upang patakbuhin ang anumang code na ipinasa ng kliyente sa pamamagitan ng Cookie "__id" at na-encode gamit ang Base64 na pamamaraan. Nagpadala rin ang malisyosong code ng mga parameter ng host kung saan na-install ang nakakahamak na variant ng Strong_password sa isang server na kinokontrol ng umaatake.
Pinagmulan: opennet.ru