হাশিকর্প, ভ্যাগ্র্যান্ট, প্যাকার, যাযাবর এবং টেরফর্মের মতো উন্মুক্ত টুলকিটগুলির বিকাশের জন্য একটি নামী সংস্থাবেশ কয়েকদিন আগে মুক্তি পেয়েছে সম্পর্কে খবর ডিজিটাল স্বাক্ষর তৈরি করতে ব্যবহৃত জিপিজি কী বন্ধ হয়ে গেছে used যা আপনার সফ্টওয়্যারটির সংস্করণগুলি পরীক্ষা করে।
আপনার পোস্টে মন্তব্য করুন যে আক্রমণকারীরা জিপিজি কীতে অ্যাক্সেস পেয়েছিল যা হ্যাশিকর্প পণ্যগুলিকে সঠিক ডিজিটাল স্বাক্ষর দিয়ে শংসাপত্র দিয়ে সম্ভাব্যভাবে লুকানো পরিবর্তন করতে পারে। একই সাথে সংস্থাটি জানিয়েছে যে নিরীক্ষণের সময় এ জাতীয় পরিবর্তন করার চেষ্টা করার কোনও চিহ্ন খুঁজে পাওয়া যায়নি।
তারা উল্লেখ করে যে আপত্তিজনক জিপিজি কীটি সনাক্ত করার মুহুর্তটি, তা প্রত্যাহার করা হয়েছিল এবং তার পরে, তার জায়গায় একটি নতুন কী চালু করা হয়েছিল।
ইস্যুটি কেবল SHA256SUM এবং SHA256SUM.sig ফাইলগুলি ব্যবহার করে যাচাইকরণকে প্রভাবিত করে এবং "রিলিজ.হ্যাশিকর্প.কম" ওয়েবসাইটের মাধ্যমে বিতরণ করা লিনাক্স ডিইবি এবং আরপিএম প্যাকেজগুলির জন্য ডিজিটাল স্বাক্ষরগুলির উত্পাদন, পাশাপাশি ম্যাকোস এবং উইন্ডোজের রিলিজ নিশ্চিতকরণ ব্যবস্থাকে প্রভাবিত করে না (অথেন্টিকোড)
15 এপ্রিল, 2021-এ কোডেকভ (একটি কোড হেজিং সমাধান) প্রকাশ্যে একটি সুরক্ষা ইভেন্ট প্রকাশ করেছিল যার সময় কোনও অননুমোদিত পক্ষ কোডেকভ গ্রাহককে ডাউনলোড করে সমাধানটি ব্যবহার করে চালানো কোনও কোডেক উপাদানকে পরিবর্তন করতে সক্ষম হয়েছিল।
এই পরিবর্তনগুলি অননুমোদিত পক্ষকে কোডেকভ ব্যবহারকারীদের অবিচ্ছিন্ন ইন্টিগ্রেশন (সিআই) পরিবেশে সঞ্চিত তথ্য সম্ভাব্য রফতানি করার অনুমতি দেয়। কোডেকভ প্রকাশ করেছেন যে অননুমোদিত অ্যাক্সেসটি জানুয়ারী 31, 2021 থেকে শুরু হয়েছিল এবং 1 এপ্রিল, 2021 এ সনাক্ত / প্রতিকার করা হয়েছিল।
কোডেকভ ব্যাশ আপলোডার স্ক্রিপ্ট ব্যবহারের কারণে ফাঁসটি ঘটেছিল অব্যাহত ইন্টিগ্রেশন সিস্টেমগুলি থেকে কভারেজ রিপোর্ট ডাউনলোড করার জন্য পরিকল্পিত অবকাঠামোতে (কোডেকভ-বাশ)। হামলার সময় সংস্থা কোডেকভ একটি এম্বেড ব্যাকডোর নির্দিষ্ট স্ক্রিপ্টে লুকানো ছিল যার মাধ্যমে একটি দূষিত সার্ভারে পাসওয়ার্ড এবং এনক্রিপশন কীগুলি প্রেরণের ব্যবস্থা করা হয়েছিল।
কোডেকভের পরিকাঠামোতে হ্যাক করতে, এলআক্রমণকারীরা ডকার চিত্র তৈরির প্রক্রিয়াতে একটি বাগটি ব্যবহার করেছিল, কি তাদের জিসিএস অ্যাক্সেস করার জন্য ডেটা উত্তোলনের অনুমতি দিয়েছে (গুগল ক্লাউড স্টোরেজ) কোডেকভ.ইও ওয়েবসাইট থেকে বিতরণ করা বাশ আপলোডার স্ক্রিপ্টে পরিবর্তন করতে হবে।
পরিবর্তনগুলি 31 জানুয়ারিতে করা হয়েছিল, দুই মাসের নজরে নেই এবং আক্রমণকারীদের গ্রাহকের একটানা ইন্টিগ্রেশন সিস্টেমের পরিবেশে সঞ্চিত তথ্য আহরণের অনুমতি দেয়। যুক্ত হওয়া দূষিত কোডের সাহায্যে আক্রমণকারীরা টোকেন, এনক্রিপশন কী এবং পাসওয়ার্ড সহ অ্যাপ্লিকেশন কোডটিতে অ্যাক্সেস সরবরাহ করতে অবিচ্ছিন্ন ইন্টিগ্রেশন সিস্টেমে পাস হওয়া, পরীক্ষিত গিট সংগ্রহস্থল এবং সমস্ত পরিবেশের ভেরিয়েবল সম্পর্কে তথ্য পেতে পারে, পরিষেবা এবং গিটহাব।
তৃতীয় পক্ষের (কোডেকভ) একটি সুরক্ষার ঘটনায় হাশিকার্প প্রভাবিত হয়েছিল যা গোপনীয় তথ্য প্রকাশের সম্ভাব্য প্রকাশের দিকে পরিচালিত করেছিল। ফলস্বরূপ, সংস্করণ স্বাক্ষরকরণ এবং যাচাইকরণের জন্য ব্যবহৃত জিপিজি কীটি ঘোরানো হয়েছে। যে গ্রাহকরা হ্যাশির্প সংস্করণ স্বাক্ষরগুলি যাচাই করেছে তাদের নতুন কীটি ব্যবহার করার জন্য তাদের প্রক্রিয়াটি আপডেট করার প্রয়োজন হতে পারে।
তদন্তে প্রকাশিত জিপিজি কীটি অননুমোদিতভাবে ব্যবহারের কোনও প্রমাণ প্রকাশিত না হলেও এটি নির্ভরযোগ্য স্বাক্ষর প্রক্রিয়া বজায় রাখতে ঘোরানো হয়েছে।
সরাসরি আমন্ত্রণের পাশাপাশি কোডেকভ ব্যাশ আপলোডার স্ক্রিপ্ট অন্যান্য ডাউনলোডারদের যেমন কোডেকভ-অ্যাকশন (গিথুব), কোডেকভ-সার্কেলসি-অর্ব, এবং কোডেকভ-বিট্রিস-পদক্ষেপ হিসাবে ব্যবহার করা হয়েছে, যার ব্যবহারকারীরাও সমস্যায় আক্রান্ত হয়েছেন।
পরিশেষে সুপারিশটি সমস্ত ব্যবহারকারীর জন্য করা হয় কোডেকভ-ব্যাশ এবং সম্পর্কিত পণ্যগুলি থেকে তাদের অবকাঠামো নিরীক্ষণ করুন এবং পাসওয়ার্ড এবং এনক্রিপশন কীগুলি পরিবর্তন করুন।
উপরন্তু হাশিকর্প টেরারফর্মের প্যাচ সংস্করণ প্রকাশ করেছে এবং সম্পর্কিত সরঞ্জামগুলি যা নতুন জিপিজি কী ব্যবহার করার জন্য স্বয়ংক্রিয় যাচাইকরণ কোড আপডেট করে এবং সরবরাহ করে একটি গাইড বিচ্ছিন্ন টেরফর্ম নির্দিষ্ট।
আপনি যদি এটি সম্পর্কে আরও জানতে চান, আপনি গিয়ে বিশদ পরীক্ষা করতে পারেন নিম্নলিখিত লিঙ্কে।