18 октомври, 2019

Разработчик с много добър поглед е открил наскоро “задна врата” и проникнал в библиотека, използвана от уеб приложенията Ruby on Rails (RoR), за да провери колко им са силни паролите.

Въпреки че скриптовият език Ruby и RoR не са толкова популярни, колкото някога, те все още са вградени в множество компании, неизвестен брой от които може би са използвали библиотеката strong_password в заразената си версия 0.0.7.

Когато погледна strong_password на RubyGems.org, той не можа да намери changelog, който обяснява как е стигнал до актуализираната версия от 0.0.6. Предишната версия на GitHub беше актуализирана през октомври 2018 г. Сравнявайки двете версии, той забеляза мистерията 0.0.7:

  • Извлича и изпълнява кода, съхраняван в pastebin.com, само ако работи в производство, с empty exception handling, което игнорира всяка грешка, която може да повдигне.
  • “Задната врата” ще изтегли код от адреса на Pastebin за производствени сайтове, придавайки на нападателите силата на remote връзката. Така безшумно отвличат всички уеб сайтове, нещастни да са се актуализирали до strong_password gem.
Тагове: , , , , , ,