ክፍት ምንጭ መሳሪያዎችን Vagrant, Packer, Nomad እና Terraformን በማዘጋጀት የሚታወቀው HashiCorp, የተለቀቁትን የሚያረጋግጡ ዲጂታል ፊርማዎችን ለመፍጠር የሚያገለግል የጂፒጂ ቁልፍ መውጣቱን አስታውቋል። የጂፒጂ ቁልፍ መዳረሻ ያደረጉ አጥቂዎች በ HashiCorp ምርቶች ላይ በትክክለኛ ዲጂታል ፊርማ በማረጋገጥ የተደበቁ ለውጦችን ሊያደርጉ ይችላሉ። በዚሁ ጊዜ ኩባንያው በኦዲት ወቅት ምንም ዓይነት ማሻሻያ ለማድረግ የተደረጉ ሙከራዎች አልተገኙም.
В настоящее время скомпрометированный GPG-ключ отозван и вместо него введён в обиход новый ключ. Проблема затронула только верификацию при помощи файлов SHA256SUM и SHA256SUM.sig, и не коснулась формирования цифровых подписей для Linux-пакетов DEB и RPM, поставляемых через releases.hashicorp.com, а также механизмы подтверждения выпусков для macOS и Windows (AuthentiCode).
Утечка произошла из-за использования в инфраструктуре скрипта Codecov Bash Uploader (codecov-bash), предназначенного для загрузки coverage-отчётов из систем непрерывной интеграции. В ходе атаки на компанию Codecov в указанный скрипт был скрыто внедрён бэкдор, через который была организована отправка паролей и ключей шифрования на አገልጋይ ወራሪዎች።
ለመጥለፍ አጥቂዎቹ የ Codecov Docker ምስልን በመፍጠር ሂደት ላይ ስህተት ወስደዋል, ይህም ወደ GCS (Google Cloud Storage) የመዳረሻ ውሂብ እንዲያወጡ አስችሏቸዋል, ይህም ከ codecov.io በተሰራጨው የ Bash Uploader ስክሪፕት ላይ ለውጦችን ለማድረግ አስፈላጊ ነው. ድህረገፅ. ለውጦቹ በጃንዋሪ 31 ተመልሰዋል፣ ለሁለት ወራት ሳይታወቅ ቆይተዋል እና አጥቂዎች በደንበኛ ተከታታይ ውህደት ስርዓት አከባቢዎች ውስጥ የተከማቸውን መረጃ እንዲያወጡ አስችሏቸዋል። ተጨማሪውን ተንኮል-አዘል ኮድ በመጠቀም አጥቂዎች ስለተሞከረው የጂት ማከማቻ መረጃ እና ሁሉንም የአካባቢ ተለዋዋጮች ማለትም ቶከኖች፣ የኢንክሪፕሽን ቁልፎች እና የይለፍ ቃሎችን ጨምሮ ወደ ተከታታይ ውህደት ስርዓቶች የሚተላለፉ እንደ Amazon Web Services እና GitHub ያሉ የመተግበሪያ ኮድ፣ ማከማቻዎች እና አገልግሎቶች ማግኘት ይችላሉ። .
ከቀጥታ ጥሪው በተጨማሪ የኮዴኮቭ ባሽ ሰቃይ ስክሪፕት እንደ Codecov-action (Github)፣ Codecov-circleci-orb እና Codecov-bitrise-step ያሉ ተጠቃሚዎቻቸው በችግሩ የተጎዱ እንደ ሌሎች ሰቃዮች አካል ሆኖ አገልግሏል። ሁሉም የኮድኮቭ-ባሽ እና ተዛማጅ ምርቶች ተጠቃሚዎች መሠረተ ልማቶቻቸውን ኦዲት እንዲያደርጉ፣እንዲሁም የይለፍ ቃሎችን እና ምስጠራ ቁልፎችን እንዲቀይሩ ይመከራሉ። የኋለኛውን በር በስክሪፕት ውስጥ መኖሩን ማረጋገጥ ይችላሉ። /upload/v0.5 || እውነት ነው።
ምንጭ: opennet.ru
