Vulnérabilité Ruby on Rails dans la gem strong_password version 0.0.7
Bonjour à tous,
Une personne a récemment pu s'octroyer les droits via rubygems.org et a injecté du code malicieux dans la gem strong_password version 0.0.7
La gem a déjà été nettoyée de son code malicieux et les personnes qui utilisent cette gem dans leur code doivent au plus tôt la mettre à jour.
Les détails de l'attaque ainsi que le code malicieux sont disponible sur mon blog, et la source d'info (en anglais) est là.
L'origine de l'attaque est une vulnérabilité sur rubygems.org qui a permis à l'attaquant de prendre les droits, on attend que l'équipe de rubygems.org annonce avoir régler cette vulnérabilité.
Benjamin