Ga naar inhoud

Backdoor in RubyGem die wachtwoordsterkte controleert


Aanbevolen berichten

In een RubyGem waarmee applicaties de sterkte van de wachtwoorden van hun gebruikers kunnen meten is een backdoor aangetroffen. Het gaat om de RubyGem StrongPassword. RubyGems zijn packages die een Ruby-applicatie of -library bevatten en eenvoudig door andere software zijn te gebruiken.

Onlangs verscheen er op RubyGems.org, de officiële RubyGems-repository, een nieuwe versie van StrongPassword. Via RubyGems.org kunnen ontwikkelaars allerlei libraries downloaden en binnen hun applicatie gebruiken. In het geval van StrongPassword was er geen melding gemaakt van aanpassingen in de nieuwe versie. Webontwikkelaar Tute Costa analyseerde de nieuwe versie en ontdekte een backdoor waardoor een aanvaller op afstand code kan uitvoeren.

Costa waarschuwde de ontwikkelaar. Die liet weten dat iemand de controle over StrongPassword op RubyGems.org had gekregen en zodoende een malafide nieuwe versie kon aanbieden. Costa informeerde ook de security-coördinator van Ruby on Rails, waarna de malafide versie werd verwijderd en de oorspronkelijke ontwikkelaar weer controle over StrongPassword kreeg. Inmiddels was de gebackdoorde versie 537 keer gedownload.

Hoe de aanvaller controle over de RubyGem wist te krijgen is niet bekendgemaakt. Op Hacker News vragen verschillende mensen dan ook om een uitleg van RubyGems.org over de aanval. In april werd er in een andere Ruby-library op de website ook een backdoor aangetroffen.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites

 Delen

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.