headless 曰く、

RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事、 GitHub — Issue 1195、 Computingの記事、 CVE-2019-10842)。

発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。

この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。