D'fhógair HashiCorp, a bhfuil aithne air as na huirlisí foinse oscailte Vagrant, Packer, Nomad agus Terraform a fhorbairt, sceitheadh an eochair phríobháideach GPG a úsáidtear chun sínithe digiteacha a chruthú a fhíoraíonn eisiúintí. D'fhéadfadh ionsaitheoirí a fuair rochtain ar an eochair GPG athruithe folaithe a dhéanamh ar tháirgí HashiCorp trína fhíorú le síniú digiteach ceart. Ag an am céanna, dúirt an chuideachta, le linn an iniúchta, nár aithníodh aon rian d'iarrachtaí chun modhnuithe den sórt sin a dhéanamh.
Faoi láthair, tá an eochair GPG comhréiteach cúlghairthe agus tugadh isteach eochair nua ina hionad. Ní raibh tionchar ag an bhfadhb ach ar fhíorú ag baint úsáide as comhaid SHA256SUM agus SHA256SUM.sig, agus ní raibh tionchar aici ar ghiniúint sínithe digiteacha do phacáistí Linux DEB agus RPM a sholáthraítear trí release.hashicorp.com, chomh maith le meicníochtaí fíoraithe scaoilte do macOS agus Windows (AuthentiCode) .
Tharla an sceitheadh mar gheall ar úsáid script Codecov Bash Uploader (codecov-bash) sa bhonneagar, atá deartha chun tuarascálacha clúdaigh a íoslódáil ó chórais chomhtháthaithe leanúnaigh. Le linn an ionsaí ar an gcuideachta Codecov, bhí cúldoor i bhfolach sa script shonraithe, trínar cuireadh pasfhocail agus eochracha criptithe chuig freastalaí na n-ionsaitheoirí.
Chun hack, bhain na hionsaitheoirí leas as earráid sa phróiseas chun íomhá Codecov Docker a chruthú, rud a thug deis dóibh sonraí rochtana a bhaint as GCS (Google Cloud Storage), a bhí riachtanach chun athruithe a dhéanamh ar an script Bash Uploader a dáileadh ón codecov.io láithreán gréasáin. Rinneadh na hathruithe ar ais ar 31 Eanáir, níor tugadh faoi deara iad ar feadh dhá mhí agus thug siad deis d'ionsaitheoirí faisnéis a stóráiltear i dtimpeallachtaí córas comhtháthaithe leanúnach custaiméirí a bhaint as. Ag baint úsáide as an gcód mailíseach breise, d'fhéadfadh ionsaitheoirí faisnéis a fháil faoin stór Git a tástáladh agus na hathróga timpeallachta go léir, lena n-áirítear comharthaí, eochracha criptithe agus pasfhocail a tharchuirtear chuig córais chomhtháthaithe leanúnacha chun rochtain ar chód iarratais, stórtha agus seirbhísí a eagrú mar Amazon Web Services agus GitHub.
Chomh maith leis an nglao díreach, baineadh úsáid as an script Codecov Bash Uploader mar chuid d’uaslódálaithe eile, mar Codecov-action (Github), Codecov-circleci-orb agus Codecov-bitrise-step, a bhfuil tionchar ag an bhfadhb ar a n-úsáideoirí freisin. Moltar do gach úsáideoir codecov-bash agus táirgí gaolmhara iniúchadh a dhéanamh ar a mbonneagar, chomh maith le pasfhocail agus eochracha criptithe a athrú. Is féidir leat cúldoras a sheiceáil sa script tríd an líne curl -sm 0.5 -d “$(git remote -v)/uaslódáil /v2 || fíor
Foinse: oscailtenet.ru