કેટલાક દિવસો પહેલા પ્યોરસ્ક્રિપ્ટ ઇન્સ્ટોલર સાથે એનપીએમ પેકેજની અવલંબનમાં દૂષિત કોડ મળી આવ્યો હતો, જે પ્યુરસ્ક્રિપ્ટ પેકેજ સ્થાપિત કરવાનો પ્રયાસ કરતી વખતે પ્રગટ થાય છે.
દૂષિત કોડ લોડ-થી-સીડબ્લ્યુડી-અથવા-એનએમએમ અવલંબન દ્વારા એમ્બેડ કરેલું અને ઝડપ નકશાની અવલંબન. એ નોંધવું જોઇએ કે પ્યોરસ્ક્રિપ્ટ ઇન્સ્ટોલર સાથે એનપીએમ પેકેજના મૂળ લેખક, જે તાજેતરમાં સુધી આ એનપીએમ પેકેજને જાળવવામાં રોકાયેલા હતા, પરંતુ પેકેજ અન્ય જાળવણીકર્તાઓને મોકલવામાં આવ્યું હતું, તે આ પરાધીનતા સાથેના પેકેજો માટે જવાબદાર છે.
સમસ્યા વિશે
પેકેજના નવા વિશ્લેષકોમાંની એક દ્વારા સમસ્યાની શોધ થઈ, એનપીએમ પ્યોરસ્ક્રિપ્ટ પેકેજના મૂળ લેખક સાથે ઘણા મતભેદ અને બીભત્સ ચર્ચાઓ પછી જાળવણીના હકો સ્થાનાંતરિત થયા હતા.
નવા જાળવણીકારો શુદ્ધસ્ક્રિપ્ટ કમ્પાઇલર માટે જવાબદાર છે અને તેઓએ આગ્રહ કર્યો હતો કે તેના સ્થાપક સાથેના એનપીએમ પેકેજની જાતે જ જાળવણી કરનારાઓ દ્વારા સમારકામ થવી જોઈએ, પ્રોજેક્ટની બહારના વિકાસકર્તા દ્વારા નહીં.
પ્યોરસ્ક્રિપ્ટ ઇન્સ્ટોલર સાથેના એનપીએમ પેકેજના લેખક લાંબા સમયથી અસંમત હતા, પરંતુ પછી છોડી દીધા અને રીપોઝીટરીને .ક્સેસ આપી. જો કે, કેટલીક અવલંબન તેના નિયંત્રણમાં રહી ગઈ હતી.
ગયા અઠવાડિયે, પ્યોરસ્ક્રિપ્ટ 0.13.2 કમ્પાઇલરનું પ્રકાશન જાહેર થયું હતું અને નવા જાળવણીકારોએ સ્થાપક સાથે એનપીએમ પેકેજનું અનુરૂપ અપડેટ તૈયાર કર્યું, જેના માટે દૂષિત કોડ શોધી કા .્યો હતો.
દૂષિત કોડ પ્રથમ એનપીએમ પેકેજમાં "લોડ-થી-સીડબ્લ્યુડી-અથવા-એનપીએમ" દાખલ કરવામાં આવ્યો હતો સંસ્કરણ .3.0.2.૦.૨ માં અને પછી આવૃત્તિ .1.0.3.૦..XNUMX ના દર-નકશા પેકેજમાં. છેલ્લા દિવસોમાં બંને પેકેજોના ઘણાં સંસ્કરણ પ્રકાશિત થયાં હતાં.
પ્યોરસ્ક્રિપ્ટ ઇન્સ્ટોલર સાથે એનપીએમ પેકેજના લેખક સાથેની પોસ્ટમાંથી બદલીને, તેમણે કહ્યું કે અજાણ્યા હુમલાખોરો દ્વારા તેમના ખાતામાં ચેડા કરવામાં આવ્યા છે.
જો કે, વર્તમાન સ્વરૂપમાં, દૂષિત કોડની ક્રિયાઓ ફક્ત પેકેજ ઇન્સ્ટોલેશનને તોડફોડ કરીને મર્યાદિત હતી, જે નવા જાળવણીકારોનું પ્રથમ સંસ્કરણ હતું. કોઈપણ સ્પષ્ટ દૂષિત પ્રવૃત્તિ કર્યા વિના "એનપીએમ આઇ-જી પ્યુસ્ક્રિપ્ટ" આદેશ સાથે પેકેજ સ્થાપિત કરવાનો પ્રયાસ કરતી વખતે દૂષિત ક્રિયાઓ લૂપ થઈ ગઈ હતી.
બે હુમલાઓની ઓળખ થઈ હતી
ટૂંકમાં, ડાઉનલોડ પૂર્ણ થતાં અટકાવવા માટે કોડ પ્યોરસ્ક્રિપ્ટ એનપીએમ ઇન્સ્ટોલરને તોડફોડ કરે છે, જે ઇન્સ્ટોલરને "તમારા પ્લેટફોર્મ માટે પ્રીમ્પમ્પાઇલ્ડ બાઈનરી પ્રદાન કરવામાં આવે છે કે કેમ તે તપાસો" પગલા દરમિયાન અટકી જાય છે.
પ્રથમ શોષણે લોડ-સી-ડબલ્યુડી અથવા એનપીએમ પેકેજને તોડીને આ કર્યું જેથી લોડફ્રોમસીડબ્લ્યુઆરએનએમપી () પરનો કોઈપણ ક callલ અપેક્ષિત પેકેજને બદલે પાસ-થ્રી ક્રમ પરત કરશે (આ કિસ્સામાં, વિનંતી પેકેજ, કે જે આપણે કમ્પાઇલર બાઈનરીઝ ડાઉનલોડ કરવા માટે વાપરી રહ્યા હતા). શોષણની બીજી પુનરાવૃત્તિએ ડાઉનલોડ ક callલબbackકને બરતરફ થવાથી અટકાવવા માટે સ્રોત ફાઇલમાં ફેરફાર કરીને આ કર્યું.
4 દિવસ પછી વિકાસકર્તાઓ ભૂલોનો સ્રોત સમજી શક્યા હતા અને લોડ-થી-સીડબ્લ્યુ-ઓ-એનએમપીને પરાધીનતામાંથી બાકાત રાખવા માટે એક સુધારો પ્રકાશિત કરવાની તૈયારી કરી રહ્યા હતા., હુમલાખોરોએ બીજું અપડેટ લોડ-થી-સીડબ્લ્યુડી-અથવા-એનપીએમ 3.0.4 જારી કર્યું, જ્યાં દૂષિત કોડને દૂર કરવામાં આવ્યો છે.
જો કે, બીજા દર-નકશા 1.0.3 અવલંબનનું અપડેટ લગભગ તરત જ બહાર પાડ્યું હતું, જેમાં એક ફિક્સ ઉમેરવામાં આવ્યું હતું જે ડાઉનલોડ કરવા માટે ક callલબેક ક callલને અવરોધે છે.
તે જ છે, બંને કિસ્સાઓમાં, લોડ-થી-સીડબ્લ્યુડી-અથવા-એનપીએમના નવા સંસ્કરણોમાં ફેરફાર અને નકશા દર, સ્પષ્ટ વિચલનોની પ્રકૃતિના હતા.
ઉપરાંત, દૂષિત કોડમાં એક ચેક હતો જેણે નવા જાળવણીકારોનું સંસ્કરણ ઇન્સ્ટોલ કરતી વખતે જ નિષ્ફળ ક્રિયાઓને ઉત્તેજીત કરી હતી અને પાછલા સંસ્કરણો ઇન્સ્ટોલ કરતી વખતે તે બિલકુલ દેખાઈ ન હતી.
વિકાસકર્તાઓએ એક અપડેટ રજૂ કરીને સમસ્યાનું સમાધાન કર્યું જેમાં સમસ્યારૂપ અવલંબન દૂર કરવામાં આવ્યું.
શુદ્ધસ્ક્રિપ્ટના સમસ્યારૂપ સંસ્કરણને ઇન્સ્ટોલ કરવાનો પ્રયાસ કર્યા પછી, વપરાશકર્તાઓની સિસ્ટમો પર ચેડા કરાયેલા કોડને ઇન્સ્ટોલ કરતા અટકાવવા માટે.
છેલ્લે વિકાસકર્તા ભલામણ કરે છે દરેકને જેની પાસે તેમની સિસ્ટમ પરના પેકેજની જણાવ્યું આવૃત્તિઓ છે નોડ_મોડ્યુલ્સ ડિરેક્ટરીઓ અને પેકેજ-લોક.જેસન ફાઇલોની સામગ્રીને દૂર કરો અને પછી પ્યોરસ્ક્રિપ્ટ સંસ્કરણ 0.13.2 સેટ કરો.