forum.opennet.ru

Составление сообщения

Исходное сообщение

"Зафиксирована подстановка вредоносного кода в  Ruby-пакет St..."
Отправлено opennews, 08-Июл-19 14:14

В опубликованном (https://rubygems.org/gems/strong_password/versions/0.0.7) 25 июня  выпуске gem-пакета Strong_password 0.7 выявлено (https://withatwist.dev/strong-password-rubygem-hijacked.html)  вредоносное изменение (CVE-2019-13354 (https://rubysec.com/advisories/strong_password-CVE-2019-13354)), загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а версии 0.6 - около 38 тысяч. Для вредоносной версии число загрузок указано 537, но не ясно насколько оно соответствует действительности с учётом того, что данный выпуск уже удалён с Ruby Gems.
Библиотека Strong_password предоставляет средства для проверки надёжности пароля, задаваемого пользователем при регистрации.
Среди (https://rubygems.org/gems/strong_password/reverse_dependencies) использующих Strong_password  пакетов think_feel_do_engine (65 тысяч загрузок), think_feel_do_dashboard (15 тысяч загрузок) и
superhosting (1.5 тыс). Отмечается, что вредоносное изменение было добавлено неизвестным, перехватившим у автора контроль за репозиторием.
Вредоносный код был добавлен только на RubyGems.org, Git-репозиторий (https://github.com/bdmac/strong_) проекта не пострадал. Проблема была выявлена после того, как один из разработчиков, использующий в своих проектах Strong_password, начал разбираться, почему в репозитории последнее изменение было добавлено более 6 месяцев назад, но на RubyGems появился новый релиз, опубликованный от лица нового мэйтенера, про которого никто до этого ничего не слышал.
Атакующий мог организовать выполнение произвольного кода на серверах, использующих проблемную версию Strong_password. В момент обнаружения проблемы с Pastebin загружался скрипт для организации запуска любого кода, переданного клиентом через Cookie "__id" и  закодированного при помощи метода Base64. Вредоносный код также отправлял параметры хоста, на который установлен вредоносный вариант Strong_password, на подконтрольный злоумышленнику сервер.



URL: https://news.ycombinator.com/item?id=20377136
Новость: https://www.opennet.ru/opennews/art.shtml?num=51056

Исходное сообщение
"Зафиксирована подстановка вредоносного кода в Ruby-пакет St..." Отправлено opennews, 08-Июл-19 14:14
В опубликованном (https://rubygems.org/gems/strong_password/versions/0.0.7) 25 июня выпуске gem-пакета Strong_password 0.7 выявлено (https://withatwist.dev/strong-password-rubygem-hijacked.html) вредоносное изменение (CVE-2019-13354 (https://rubysec.com/advisories/strong_password-CVE-2019-13354)), загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а версии 0.6 - около 38 тысяч. Для вредоносной версии число загрузок указано 537, но не ясно насколько оно соответствует действительности с учётом того, что данный выпуск уже удалён с Ruby Gems. Библиотека Strong_password предоставляет средства для проверки надёжности пароля, задаваемого пользователем при регистрации. Среди (https://rubygems.org/gems/strong_password/reverse_dependencies) использующих Strong_password пакетов think_feel_do_engine (65 тысяч загрузок), think_feel_do_dashboard (15 тысяч загрузок) и superhosting (1.5 тыс). Отмечается, что вредоносное изменение было добавлено неизвестным, перехватившим у автора контроль за репозиторием. Вредоносный код был добавлен только на RubyGems.org, Git-репозиторий (https://github.com/bdmac/strong_) проекта не пострадал. Проблема была выявлена после того, как один из разработчиков, использующий в своих проектах Strong_password, начал разбираться, почему в репозитории последнее изменение было добавлено более 6 месяцев назад, но на RubyGems появился новый релиз, опубликованный от лица нового мэйтенера, про которого никто до этого ничего не слышал. Атакующий мог организовать выполнение произвольного кода на серверах, использующих проблемную версию Strong_password. В момент обнаружения проблемы с Pastebin загружался скрипт для организации запуска любого кода, переданного клиентом через Cookie "__id" и закодированного при помощи метода Base64. Вредоносный код также отправлял параметры хоста, на который установлен вредоносный вариант Strong_password, на подконтрольный злоумышленнику сервер. URL: https://news.ycombinator.com/item?id=20377136 Новость: https://www.opennet.ru/opennews/art.shtml?num=51056

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В опубликованном (https://rubygems.org/gems/strong_password/versions/0.0.7) 25 июня 
>  выпуске gem-пакета Strong_password 0.7 выявлено (https://withatwist.dev/strong-password-rubygem-hijacked.html) 
>  вредоносное изменение (CVE-2019-13354 (https://rubysec.com/advisories/strong_password-CVE-2019-13354)), 
> загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый 
> на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а 
> версии 0.6 - около 38 тысяч. Для вредоносной версии число загрузок 
> указано 537, но не ясно насколько оно соответствует действительности с учётом 
> того, что данный выпуск уже удалён с Ruby Gems.

> Библиотека Strong_password предоставляет средства для проверки надёжности пароля, задаваемого 
> пользователем при регистрации.
> Среди (https://rubygems.org/gems/strong_password/reverse_dependencies) использующих 
> Strong_password  пакетов think_feel_do_engine (65 тысяч загрузок), think_feel_do_dashboard 
> (15 тысяч загрузок) и 
> superhosting (1.5 тыс). Отмечается, что вредоносное изменение было добавлено неизвестным, 
> перехватившим у автора контроль за репозиторием.

> Вредоносный код был добавлен только на RubyGems.org, Git-репозиторий (https://github.com/bdmac/strong_) 
> проекта не пострадал. Проблема была выявлена после того, как один из 
> разработчиков, использующий в своих проектах Strong_password, начал разбираться, почему 
> в репозитории последнее изменение было добавлено более 6 месяцев назад, но 
> на RubyGems появился новый релиз, опубликованный от лица нового мэйтенера, про 
> которого никто до этого ничего не слышал.

> Атакующий мог организовать выполнение произвольного кода на серверах, использующих проблемную 
> версию Strong_password. В момент обнаружения проблемы с Pastebin загружался скрипт для 
> организации запуска любого кода, переданного клиентом через Cookie "__id" и  
> закодированного при помощи метода Base64. Вредоносный код также отправлял параметры хоста, 
> на который установлен вредоносный вариант Strong_password, на подконтрольный злоумышленнику 
> сервер.

> URL: https://news.ycombinator.com/item?id=20377136 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=51056

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру