Strong_password Ruby kitabxanasında zərərli kod aşkar edilib

Strong_password Ruby kitabxanasında zərərli kod aşkar edilib

Code-News
09.07.2019 PAYLAŞIM



Bənzər xəbər


    İstifadəçi şifrələrinin etibarlığını yoxlamaq üçün yaradılmış strong_password paketində zərərli kod aşkar edilib. Bu cür üsulla “yenilənmiş” kitabxana özünün test rejimində işlədilib-işlədilməyini yoxlayırdı. Əgər işlədilirdisə o, Pastebin.com-a backdoor yerləşdirirdi. Bu barədə Xakep.ru saytı xəbər verib. Aktivləşəndən sonra sözügedən backdoor smiley.zzz.com[.]ua resursu ilə əlaqə yaradırdı və növbəti təlimatları gözləyirdi. Həmin təlimatlar isə cookie faylları formasında əldə olunurdu. Öz növbəsində backdoor həmin cookie faylları eval (execute) vasitəsilə açaraq və yerinə yetirərək əldə edirdi.


    Nəticədə kiberhücumu reallaşdıran şəxslər yoluxmuş kitabxanaya sahib tətbiqin daxilində ixtiyari kodu yerinə yetirmək imkanına sahib olurdular. Bu problemi ilk aşkar edən isə Tute Costa adlı tərtibatçı olub. O bu problemi standart auditin keçirilməsi və öz tətbiqinin asılıqlarını yoxlaması nəticəsində aşkar edib. Baş vermiş problemin həll yolunu tapmaq üçün Costa kitabxananın tərtibatçıları ilə əlaqə saxlamaq istəyən zaman aşkar edib ki, hacker RubyGems repozitoriyasında strong_password-un əsl müəllifini özü ilə əvəz edib və paketin yeni versiyasını təqdim edib.

    Strong_password-a zərərli kod keçən ayın 25-də işıq üzü görmüş 0.0.7 versiyası ilə yerləşdirlib. RubyGems statistikasına əsasən həmin versiyanı 537 istifadəçi yükləyib. Məlumatda qeyd olunub ki, kiberhücumu reallaşdırmış şəxs tərəfindən edilmiş dəyişikliklər layihənin GitHub repozitoriyasına təsir etməyib. Belə ki, yalnız RubyGems-də dəyişikliklər edilmişdi. Strong-password-un təhlükəli versiyası RubyGems-in təhlükəsizlik komandası tərəfindən silinib. Bütün zərərçəkmiş istifadəçilərə isə dərhal 0.0.6 versiyasına geri qayıtmaq və öz layihələrinin auditini keçirtmək məsləhət görülür.

Qeyd: Şərhlərdə nalayiq ifadələr işlətmək, reklam xarakterli mətn paylaşmaq qadağandır.

Şərh yoxdur

Şərh yazmaq üçün daxil olun


DAHA ÇOX


2020-ci ildə məlumatların vizualizasiyası üçün aktual olacaq Top-8 JavaScript ki..

JavaScript-də məlumatları daha gözəl şəkildə təqdim etmək lazımdır?


Microsoft bu il olmuş qeyri adi fişinq kiberhücumlarından danışdı

Bir neçə müddət bundan öncə isə Microsoft şirkəti kiberhücumlar və malware-lar üzrə trendləri əks et..


Microsoft Windows-da 0-day boşluğu da daxil olmaqla 7 kritik sistem boşluğu arad..

Microsoft şirkəti bu ay təqdim etmiş olduğu yenilənmələr ilə öz sistemlərində 36 boşluğu aradan qald..


Microsoft Teams platformasının Linux versiyası təqdim edildi

Microsoft şirkəti Microsoft Teams platformasının Linux versiyasını təqdim edib.


OpenBSD-də 4 ciddi sistem boşluğu aşkar edilib

OpenBSD-də 4 ciddi sistem boşluğu aşkar edilərək aradan qaldrılıb.


Sadə tətbiqlərin müxtəlif proqramlaşdırma dillərindəki test nəticələri təqdim ed..

Assembler x86_64-də HeavyThing adlı azad kitabxananı reallaşdırmış müəllif Jeff Marrison “Assembler-..

×