ஹாஷிகார்ப், வாக்ரான்ட், பாக்கர், நோமட் மற்றும் டெர்ராஃபார்ம் போன்ற திறந்த கருவித்தொகுப்புகளை உருவாக்க ஒரு புகழ்பெற்ற நிறுவனம், பல நாட்களுக்கு முன்பு வெளியிடப்பட்டது பற்றிய செய்தி டிஜிட்டல் கையொப்பத்தை உருவாக்க பயன்படுத்தப்படும் மூடிய ஜிபிஜி விசையின் கசிவு இது உங்கள் மென்பொருளின் பதிப்புகளை சரிபார்க்கிறது.
உங்கள் இடுகையில் ஜிபிஜி விசையை அணுகிய தாக்குதல் செய்பவர்கள் என்று கருத்து தெரிவிக்கவும் இது சரியான டிஜிட்டல் கையொப்பத்துடன் சான்றளிப்பதன் மூலம் ஹாஷிகார்ப் தயாரிப்புகளில் மறைக்கப்பட்ட மாற்றங்களைச் செய்யக்கூடும். அதே நேரத்தில், தணிக்கையின் போது இதுபோன்ற மாற்றங்களைச் செய்வதற்கான முயற்சிகளின் தடயங்கள் எதுவும் கிடைக்கவில்லை என்று நிறுவனம் கூறியது.
சமரசம் செய்யப்பட்ட ஜிபிஜி விசையை அவர்கள் கண்டறிந்த தருணம் அது ரத்து செய்யப்பட்டது என்று அவர்கள் குறிப்பிடுகின்றனர் அதன் பிறகு, ஒரு புதிய விசை அதன் இடத்தில் அறிமுகப்படுத்தப்பட்டது.
இந்த சிக்கல் SHA256SUM மற்றும் SHA256SUM.sig கோப்புகளைப் பயன்படுத்தி சரிபார்ப்பை மட்டுமே பாதித்தது மற்றும் "வெளியீடுகள்.ஹாஷிகார்ப்.காம்" வலைத்தளத்தின் மூலம் வழங்கப்பட்ட லினக்ஸ் டெப் மற்றும் ஆர்.பி.எம் தொகுப்புகளுக்கான டிஜிட்டல் கையொப்பங்களின் தலைமுறையையும், மேகோஸ் மற்றும் விண்டோஸ் வெளியீட்டு உறுதிப்படுத்தல் வழிமுறைகளையும் பாதிக்கவில்லை. (AuthentiCode).
ஏப்.
இந்த மாற்றங்கள் கோடெகோவ் பயனர்களின் தொடர்ச்சியான ஒருங்கிணைப்பு (சிஐ) சூழல்களில் சேமிக்கப்பட்ட தகவல்களை அங்கீகரிக்கப்படாத தரப்பினரை ஏற்றுமதி செய்ய அனுமதித்தன. கோடெகோவ் அங்கீகரிக்கப்படாத அணுகல் ஜனவரி 31, 2021 இல் தொடங்கியது மற்றும் 1 ஏப்ரல் 2021 ஆம் தேதி அடையாளம் காணப்பட்டது / சரிசெய்யப்பட்டது.
கோடெகோவ் பாஷ் பதிவேற்றி ஸ்கிரிப்டைப் பயன்படுத்துவதால் கசிவு ஏற்பட்டது (கோடெகோவ்-பாஷ்) உள்கட்டமைப்பில், தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளிலிருந்து கவரேஜ் அறிக்கைகளைப் பதிவிறக்க வடிவமைக்கப்பட்டுள்ளது. தாக்குதலின் போது கோடெகோவ் நிறுவனத்திற்கு குறிப்பிட்ட ஸ்கிரிப்டில் உட்பொதிக்கப்பட்ட கதவு மறைக்கப்பட்டது இதன் மூலம் தீங்கிழைக்கும் சேவையகத்திற்கு கடவுச்சொற்கள் மற்றும் குறியாக்க விசைகளை அனுப்புதல் ஏற்பாடு செய்யப்பட்டது.
கோடெகோவின் உள்கட்டமைப்பை ஹேக் செய்ய, எல்தாக்குதல் செய்பவர்கள் டோக்கர் படத்தை உருவாக்கும் செயல்பாட்டில் ஒரு பிழையைப் பயன்படுத்தினர், என்ன GCS ஐ அணுக தரவைப் பிரித்தெடுக்க அவர்களை அனுமதித்தது (Google மேகக்கணி சேமிப்பிடம்) codecov.io வலைத்தளத்திலிருந்து விநியோகிக்கப்பட்ட பாஷ் பதிவேற்றி ஸ்கிரிப்ட்டில் மாற்றங்களைச் செய்யத் தேவை.
மாற்றங்கள் ஜனவரி 31 அன்று செய்யப்பட்டன, இரண்டு மாதங்கள் கவனிக்கப்படாமல் போய்விட்டன மற்றும் வாடிக்கையாளரின் தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளின் சூழலில் சேமிக்கப்பட்ட தகவல்களைப் பிரித்தெடுக்க தாக்குபவர்களை அனுமதித்தது. கூடுதல் தீங்கிழைக்கும் குறியீட்டைக் கொண்டு, பயன்பாட்டுக் குறியீட்டை அணுகுவதற்காக தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளுக்கு அனுப்பப்பட்ட டோக்கன்கள், குறியாக்க விசைகள் மற்றும் கடவுச்சொற்கள் உள்ளிட்ட சோதனை செய்யப்பட்ட கிட் களஞ்சியம் மற்றும் அனைத்து சூழல் மாறிகள் பற்றிய தகவல்களையும் தாக்குபவர்கள் பெறலாம். சேவைகள் மற்றும் கிட்ஹப்.
மூன்றாம் தரப்பினருடன் (கோடெகோவ்) ஒரு பாதுகாப்பு சம்பவத்தால் ஹாஷிகார்ப் பாதிக்கப்பட்டது, இது ரகசிய தகவல்களை வெளியிட வழிவகுத்தது. இதன் விளைவாக, பதிப்பு கையொப்பமிடுதல் மற்றும் சரிபார்ப்புக்கு பயன்படுத்தப்படும் ஜிபிஜி விசை சுழற்றப்பட்டது. ஹாஷிகார்ப் பதிப்பு கையொப்பங்களை சரிபார்க்கும் வாடிக்கையாளர்கள் புதிய விசையைப் பயன்படுத்த தங்கள் செயல்முறையைப் புதுப்பிக்க வேண்டியிருக்கும்.
அம்பலப்படுத்தப்பட்ட ஜிபிஜி விசையை அங்கீகரிக்கப்படாத முறையில் பயன்படுத்தியதற்கான எந்த ஆதாரமும் விசாரணையில் தெரியவில்லை என்றாலும், நம்பகமான கையொப்ப பொறிமுறையை பராமரிக்க இது சுழற்றப்பட்டுள்ளது.
நேரடி அழைப்பிற்கு கூடுதலாக, கோடெகோவ்-அதிரடி (கிதுப்), கோடெகோவ்-வட்டம்-உருண்டை மற்றும் கோடெகோவ்-பிட்ரைஸ்-படி போன்ற பிற பதிவிறக்கிகளின் ஒரு பகுதியாக கோடெகோவ் பாஷ் பதிவேற்றி ஸ்கிரிப்ட் பயன்படுத்தப்பட்டுள்ளது, இதன் பயனர்களும் சிக்கலால் பாதிக்கப்படுகின்றனர்.
இறுதியாக அனைத்து பயனர்களுக்கும் பரிந்துரை செய்யப்படுகிறது கோடெகோவ்-பாஷ் மற்றும் தொடர்புடைய தயாரிப்புகளிலிருந்து அவற்றின் உள்கட்டமைப்புகள் தணிக்கை செய்யப்பட்டு கடவுச்சொற்கள் மற்றும் குறியாக்க விசைகளை மாற்றவும்.
கூடுதலாக ஹாஷிகார்ப் டெர்ராஃபார்மின் பேட்ச் பதிப்புகளை வெளியிட்டுள்ளது மற்றும் புதிய ஜிபிஜி விசையைப் பயன்படுத்த தானியங்கி சரிபார்ப்புக் குறியீட்டைப் புதுப்பிக்கும் தொடர்புடைய கருவிகள் ஒரு வழிகாட்டி பிரிக்கப்பட்ட நிலப்பரப்பு குறிப்பிட்ட.
நீங்கள் அதைப் பற்றி மேலும் தெரிந்து கொள்ள விரும்பினால், சென்று விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்புக்கு.