RubyGems scoperta grave vulnerabilità per strong password

Gli utenti di Ruby che sono stati aggiornati con strong_password gem versione 0.0.7 sono invitati a tornare alle versioni precedenti dopo che uno sviluppatore ha rilasciato il codice dannoso.

Lo sviluppatore di nome Tute Costa ha notato l’inclusione di backdoor durante l’esecuzione di controlli di sicurezza . Ha individuato le modifiche con strong_password sul servizio di hosting gem.

“Sembra che sia passato da 0.0.6 a 0.0.7, ma l’ultima modifica in qualsiasi branch in GitHub è stata di 6 mesi fa, e siamo stati aggiornati con quelli.” La Strong_password è  usata dagli sviluppatori per controllare il la sicurezza della password delle app.

Strong_password v 0.0.6 è stato scaricato più di 38.000 volte e la versione backdoor di 0.0.7 è stata scaricata 537 volte.