તાજેતરમાં ની ટીમ ડોકર એક ડોકર હબ ડેટાબેસેસની અનધિકૃત accessક્સેસની જાહેરાત કરવા માટે એક સલામતી સલાહકાર જારી કરી હતી કોઈ અજાણ્યા વ્યક્તિ દ્વારા 25 મી એપ્રિલ, 2019 ના રોજ, ટૂંકી અવધિ માટે ચાલેલી ઘૂસણખોરી વિશે ડોકર ટીમ વાકેફ થઈ.
ડોકર હબ ડેટાબેસ હેશેડ વપરાશકર્તાનામો અને પાસવર્ડો સહિત આશરે 190,000 વપરાશકર્તાઓ માટે સંવેદનશીલ માહિતી ખુલ્લી, તેમજ ગીટહબ અને બિટબકેટ રિપોઝિટરીઝ માટેના ટોકન્સ, જેનો ઉપયોગ તૃતીય પક્ષ દ્વારા ભલામણ કરવામાં આવ્યો નથી તે કોડ રીપોઝીટરીઓની અખંડિતતા સાથે સમાધાન કરી શકે છે.
ડોકરના અભિપ્રાય મુજબ, ડેટાબેઝમાંની માહિતીમાં ગિટહબ અને બિટબકેટ રિપોઝીટરીઓ માટેના accessક્સેસ ટોકન્સ શામેલ છે જેનો ઉપયોગ ડોકર હબમાં સ્વચાલિત કોડ સંકલન માટે કરવામાં આવે છે, તેમ જ વપરાશકર્તાનામ અને પાસવર્ડ્સ નાના ટકાવારીના વપરાશકર્તાઓ: 190,000 વપરાશકર્તા એકાઉન્ટ્સ તેઓ 5% કરતા ઓછા ડોકર હબ વપરાશકર્તાઓનું પ્રતિનિધિત્વ કરે છે.
હકીકતમાં, ડોકર હબમાં સંગ્રહિત ગિથબubબ અને બિટબકેટ accessક્સેસ કીઓ વિકાસકર્તાઓને તેમના પ્રોજેક્ટ કોડમાં ફેરફાર કરવાની મંજૂરી આપે છે અને આપમેળે છબીને ડોકર હબ પર કમ્પાઇલ કરો.
અસરગ્રસ્ત લોકોની એપ્લિકેશનોમાં ફેરફાર કરી શકાય છે
સંભવિત જોખમ 190,000 વપરાશકર્તાઓ માટે જેમના એકાઉન્ટ્સ ખુલ્લી મુકાયા તે છે કે જો કોઈ હુમલાખોર તેમની accessક્સેસ ટોકન્સની gainક્સેસ મેળવે છે, તમે તેમના ખાનગી કોડ ભંડારની getક્સેસ મેળવી શકશો કે તેઓ ટોકનમાં સ્ટોર કરેલી મંજૂરીઓના આધારે સુધારી શકશે.
જો કે, જો ખોટા કારણોસર કોડ બદલાયો છે અને સમાધાન કરેલી છબીઓ લાગુ કરવામાં આવી છે, તેનાથી ગંભીર સપ્લાય ચેઇન એટેક થઈ શકે છેજેમ કે ડોકર હબ છબીઓનો ઉપયોગ સામાન્ય રીતે સર્વર એપ્લિકેશનો અને ગોઠવણીઓમાં થાય છે.
શુક્રવારે રાત્રે પોસ્ટ કરેલી તમારી સુરક્ષા સલાહમાં, ડોકરે કહ્યું કે તેણે પહેલાથી જ તમામ ટોકન અને onન-સ્ક્રીન keysક્સેસ કીને રદ કરી દીધી છે.
ડોકરે એમ પણ કહ્યું કે તે તેની એકંદર સુરક્ષા પ્રક્રિયાઓને સુધારે છે અને તેની નીતિઓની સમીક્ષા કરે છે. તેમણે એમ પણ જાહેરાત કરી કે હવે મોનિટરિંગનાં નવાં સાધનો હવે સ્થાને છે.
જો કે, તે મહત્વપૂર્ણ છે કે વિકાસકર્તાઓ, જેમણે ડોકર હબના સ્વચાલિત બિલ્ડનો ઉપયોગ કર્યો છે, અનધિકૃત forક્સેસ માટે તમારા પ્રોજેક્ટ ભંડારોને તપાસો.
શુક્રવારે રાત્રે ડોકરે પોસ્ટ કરેલી સુરક્ષા સલાહ અહીં છે:
ગુરુવાર, 25 Aprilપ્રિલ, 2019 ના રોજ, અમને એક જ હબ ડેટાબેસની અનધિકૃત discoveredક્સેસ મળી જે બિન-વપરાશકર્તા ડેટાના સબસેટને સ્ટોર કરે છે. નાણાકીય શોધ કર્યા પછી, અમે દખલ કરવા અને સાઇટને સુરક્ષિત કરવા માટે ઝડપથી કાર્ય કરીએ છીએ.
અમે તમને જણાવવા માગીએ છીએ કે અમારી ચાલુ તપાસમાંથી અમે શું શીખ્યા છે, જેમાં ડોકર હબ એકાઉન્ટ્સ અસરગ્રસ્ત છે અને વપરાશકર્તાઓએ શું પગલા ભરવા જોઈએ તે સહિત.
આ આપણે શીખ્યા:
ડોકર હબ ડેટાબેસની અનધિકૃત accessક્સેસના ટૂંકા ગાળા દરમિયાન, આશરે 190,000 એકાઉન્ટ્સ (હબ વપરાશકર્તાઓના 5% કરતા ઓછા) માંથી સંવેદનશીલ ડેટા ખુલ્લી પડી શકે છે.
ડેટામાં આ વપરાશકર્તાઓની થોડી ટકાવારીના હેશેડ વપરાશકર્તાનામો અને પાસવર્ડો તેમજ automaticટોમેટિક ડોકર બિલ્ડ્સ માટે ગીથબ અને બિટબકેટ ટોકન્સ શામેલ છે.
લેવાની ક્રિયા:
અમે વપરાશકર્તાઓને ડોકર હબમાં તેમનો પાસવર્ડ બદલવા માટે કહીએ છીએ અને કોઈપણ અન્ય એકાઉન્ટ કે જે આ પાસવર્ડને શેર કરે છે.
અસરગ્રસ્ત હોઈ શકે તેવા સ્વત--બિલ્ડ સર્વર્સવાળા વપરાશકર્તાઓ માટે, અમે GitHub માંથી keysક્સેસ કી અને ટોકન્સ રદ કરી દીધી છે. અને તમને તમારા રીપોઝીટરીઓ સાથે ફરીથી કનેક્ટ થવા અને સુરક્ષા લsગ્સને તપાસવાનું કહેવામાં આવશે કોઈ ક્રિયા છે કે કેમ તે જોવા માટે. અણધાર્યા બનાવો બન્યા.
છેલ્લા 24 કલાકમાં કોઈ અણધારી accessક્સેસ થઈ છે કે કેમ તે જોવા માટે તમે તમારા ગિટહબ અથવા બિટબકેટ એકાઉન્ટ્સ પરની સુરક્ષા ક્રિયાઓ ચકાસી શકો છો.
આ અમારી સ્વચાલિત બિલ્ડ સેવાથી તમારા વર્તમાન બિલ્ડ્સને અસર કરી શકે છે. તમારે તમારા ગિથબ અને બીટબકેટ સ્રોત પ્રદાતાને ડિસ્કનેક્ટ કરવાની અને ફરીથી કનેક્ટ કરવાની જરૂર પડી શકે છે નીચેની કડીમાં વર્ણવેલ.