Bonjour à tous,

Une personne a récemment pu s'octroyer les droits via rubygems.org et a injecté du code malicieux dans la gem strong_password version 0.0.7
La gem a déjà été nettoyée de son code malicieux et les personnes qui utilisent cette gem dans leur code doivent au plus tôt la mettre à jour.
Les détails de l'attaque ainsi que le code malicieux sont disponible sur mon blog, et la source d'info (en anglais) est .

L'origine de l'attaque est une vulnérabilité sur rubygems.org qui a permis à l'attaquant de prendre les droits, on attend que l'équipe de rubygems.org annonce avoir régler cette vulnérabilité.

Benjamin