ProHoster > Блог > ayelujara iroyin > Koodu irira ti a rii ni alabara-isinmi ati awọn idii Ruby 10 miiran

Koodu irira ti a rii ni alabara-isinmi ati awọn idii Ruby 10 miiran

Ni a gbajumo tiodaralopolopo package isinmi-onibara, pẹlu apapọ awọn igbasilẹ 113 milionu, mọ Fidipo koodu irira (CVE-2019-15224) ti o ṣe igbasilẹ awọn aṣẹ ṣiṣe ati firanṣẹ alaye si agbalejo ita. Awọn kolu ti a ti gbe jade nipasẹ adehun Olùgbéejáde iroyin isinmi-onibara ni ibi ipamọ rubygems.org, lẹhin eyi ti awọn ikọlu ṣe atẹjade awọn idasilẹ 13-14 ni Oṣu Kẹjọ 1.6.10 ati 1.6.13, eyiti o pẹlu awọn ayipada irira. Ṣaaju ki o to dina awọn ẹya irira, nipa ẹgbẹrun awọn olumulo ṣakoso lati ṣe igbasilẹ wọn (awọn ikọlu tu awọn imudojuiwọn si awọn ẹya agbalagba lati ma ṣe ifamọra akiyesi).

Iyipada irira dojukọ ọna "#authenticate" ninu kilasi naa
Idanimọ, lẹhin eyi ni awọn abajade ipe ọna kọọkan ninu imeeli ati ọrọ igbaniwọle ti a firanṣẹ lakoko igbiyanju ijẹrisi ti a firanṣẹ si agbalejo awọn ikọlu. Ni ọna yii, awọn aye iwọle ti awọn olumulo iṣẹ nipa lilo kilasi Idanimọ ati fifi ẹya ti o ni ipalara ti ile-ikawe alabara-isinmi ti gba wọle, eyiti ifihan gẹgẹbi igbẹkẹle ninu ọpọlọpọ awọn idii Ruby olokiki, pẹlu ast (awọn igbasilẹ miliọnu 64), oauth (miliọnu 32), fastlane (18 million), ati kubeclient (3.7 milionu).

Ni afikun, ẹnu-ọna ẹhin kan ti ṣafikun koodu naa, gbigba koodu Ruby lainidii lati ṣiṣẹ nipasẹ iṣẹ eval. Awọn koodu ti wa ni gbigbe nipasẹ kuki kan ti a fọwọsi nipasẹ bọtini ikọlu. Lati sọfun awọn olukolu nipa fifi sori ẹrọ ti package irira lori agbalejo ita, URL ti eto olufaragba ati yiyan alaye nipa agbegbe, gẹgẹbi awọn ọrọ igbaniwọle ti o fipamọ fun DBMS ati awọn iṣẹ awọsanma, ni a firanṣẹ. Awọn igbiyanju lati ṣe igbasilẹ awọn iwe afọwọkọ fun iwakusa cryptocurrency ni a gbasilẹ ni lilo koodu irira ti a mẹnuba loke.

Lẹhin ti keko awọn irira koodu ti o wà fi hanpe iru awọn ayipada wa ninu 10 jo ni Ruby Gems, eyiti a ko mu, ṣugbọn ti pese ni pataki nipasẹ awọn ikọlu ti o da lori awọn ile-ikawe olokiki miiran pẹlu awọn orukọ ti o jọra, ninu eyiti a ti rọpo daaṣi naa pẹlu isale tabi ni idakeji (fun apẹẹrẹ, da lori cron-parser a irira package cron_parser ti a da, ati ki o da lori doge_coin irira doge-coin package). Awọn akopọ iṣoro:

Apo irira akọkọ lati inu atokọ yii ni a firanṣẹ ni Oṣu Karun ọjọ 12, ṣugbọn pupọ julọ wọn han ni Oṣu Keje. Ni apapọ, awọn idii wọnyi ti ṣe igbasilẹ nipa awọn akoko 2500.

orisun: opennet.ru

Fi ọrọìwòye kun