В Strong_password 25 mücevher paketinin 0.7 Haziran sürümü kötü niyetli değişiklik (), Pastebin hizmetinde barındırılan, bilinmeyen bir saldırgan tarafından kontrol edilen harici kodun indirilmesi ve çalıştırılması. Projenin toplam indirme sayısı 247 bin, 0.6 versiyonu ise 38 bin civarında. Kötü amaçlı sürüm için indirme sayısı 537 olarak listeleniyor ancak bu sürümün zaten Ruby Gems'ten kaldırıldığı göz önüne alındığında bunun ne kadar doğru olduğu net değil.
Strong_password kütüphanesi, kayıt sırasında kullanıcı tarafından belirlenen şifrenin gücünü kontrol etmek için araçlar sağlar.
Strong_password paketlerini kullanarak think_feel_do_engine (65 bin indirme), think_feel_do_dashboard (15 bin indirme) ve
süper barındırma (1.5 bin). Kötü niyetli değişikliğin, deponun kontrolünü yazardan ele geçiren bilinmeyen bir kişi tarafından eklendiği belirtiliyor.
Kötü amaçlı kod yalnızca RubyGems.org'a eklendi, proje etkilenmedi. Sorun, projelerinde Strong_password kullanan geliştiricilerden birinin, son değişikliğin neden 6 aydan daha uzun bir süre önce depoya eklendiğini anlamaya başlamasıyla belirlendi, ancak RubyGems'te yeni bir sürüm adına yayınlanan yeni bir sürüm ortaya çıktı. Daha önce kimsenin adını duymadığı bakıcı, ben hiçbir şey duymadım.
Saldırgan, Strong_password'ün sorunlu sürümünü kullanarak sunucularda rastgele kod çalıştırabilir. Pastebin ile ilgili bir sorun tespit edildiğinde, istemci tarafından Çerez "__id" aracılığıyla iletilen ve Base64 yöntemi kullanılarak kodlanan herhangi bir kodu çalıştırmak için bir komut dosyası yüklendi. Kötü amaçlı kod ayrıca, kötü amaçlı Strong_password türevinin yüklü olduğu ana bilgisayarın parametrelerini saldırgan tarafından kontrol edilen bir sunucuya gönderdi.
Kaynak: opennet.ru