Зафиксирована подстановка вредоносного кода в Ruby-пакет Strong_password

В опубликованном 25 июня выпуске gem-пакета Strong_password 0.7 выявлено вредоносное изменение (CVE-2019-13354), загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а версии 0.6 – около 38 тысяч. Для вредоносной версии число загрузок указано 537, но не ясно насколько оно соответствует действительности с учётом того, что данный выпуск уже удалён с Ruby Gems.

from OpenNews.opennet.ru: Проблемы безопасности https://ift.tt/2JkEvrG
via IFTTT

Leave a Reply