Bagdør fundet i Ruby on Rails-bibliotek

Illustration: Beebright/Bigstock
En udvikler har fundet en bagdør i Ruby on Rails-biblioteket strong_password. Bagdøren gør det muligt for angriberen at eksekvere vilkårlig kode på serveren.

En skummel opdatering til Ruby on Rails-biblioteket strong_password har tilføjet en bagdør, som gør det muligt for en angriber at køre vilkårlig kode på eksempelvis en webserver.

Det skriver mediet Naked Security.

Bagdøren består i en lille kodebid, som efter en tilfældig periode op til lidt under en time forbinder til en side på pastebin.com – en hjemmeside, hvor man kan gemme tekst – og henter og eksekverer kode derfra.

Læs også: Bagdør til webservere forsøgt distribueret via javascript-registret NPM

Den kode, der ligger i det pågældende pastebin, sender så en besked over internettet med det inficerede systems URL. Herefter bliver der åbnet for kørsel af vilkårlig kode på det ramte system, uden at systemets ejer bliver gjort opmærksom på det.

Fejlen blev fundet af Tute Costa, som er softwareudvikler i virksomheden Epion Health. I et indlæg beskriver han, hvordan han i forbindelse med opdateringen af en række gems – navnet på biblioteker i Ruby on Rails – gennemgik listen af ændringer for hver opdatering.

Manglende beskrivelse af ændringer

Tute Costa bemærkede, at biblioteket strong_password, som bruges af webapplikationer til at tjekke, hvor stærke brugeres passwords er, var gået fra version 0.0.6 til 0.0.7 uden nogen forklaring eller beskrivelse af ændringerne.

Et nærmere kig viste, at den oprindelige ejer af biblioteket havde mistet ejerskabet, som i stedet var blevet flyttet over til en næsten tom konto. Den tomme konto havde så uploadet opdateringen 0.0.7 med bagdøren.

I en kommentar på Hacker News skriver bibliotekets ejer, Brian McManus, at han tror, at biblioteket er blevet overtaget, ved at angriberen har fundet hans password i et af de mange password-læk, der har huseret på internettet i de seneste år.

Brian McManus har opdateret strong_password til version 0.0.8, som ikke indeholder bagdøren.

0.0.7-udgaven blev uploadet 25. juni, og bagdøren lukket 8. juli med 0.0.8-udgaven.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ditlev Petersen

Og hvis der nu havde været givet en plausibelt lydende forklaring på ændringen af kildeteksten, hvornår var det så blevet opdaget?

var gået fra version 0.0.6 til 0.0.7 uden nogen forklaring eller beskrivelse af ændringerne.

Log ind eller Opret konto for at kommentere