জেটব্রেইনস টিমসিটি সফ্টওয়্যার ডেভেলপমেন্ট প্ল্যাটফর্ম ম্যানেজারের ক্লাউড সংস্করণগুলি ইতিমধ্যেই একটি নতুন জোড়া সমালোচনামূলক দুর্বলতার বিরুদ্ধে আপডেট করা হয়েছে, তবে প্রাঙ্গনে স্থাপনার অবিলম্বে প্যাচিং প্রয়োজন, এই সপ্তাহে বিক্রেতার কাছ থেকে একটি সুরক্ষা পরামর্শ দেওয়া হয়েছে।
এটি দ্বিতীয় রাউন্ডের সমালোচনামূলক টিমসিটির দুর্বলতা গত দুই মাসে এর প্রভাবগুলি বিস্তৃত হতে পারে: কোম্পানির সফ্টওয়্যার ডেভেলপমেন্ট লাইফসাইকেল (SDLC) প্ল্যাটফর্মটি সিটিব্যাঙ্ক, নাইকি এবং ফেরারি সহ 30,000 প্রতিষ্ঠান জুড়ে ব্যবহৃত হয়।
TeamCity টুল সফ্টওয়্যার ডেভেলপমেন্ট CI/CD পাইপলাইন পরিচালনা করে, যেটি সেই প্রক্রিয়া যার মাধ্যমে কোড তৈরি, পরীক্ষা করা এবং স্থাপন করা হয়। CVE-2024-27198 এবং CVE-2024-27199-এর অধীনে ট্র্যাক করা নতুন দুর্বলতাগুলি হুমকি অভিনেতাদের প্রমাণীকরণ বাইপাস করতে এবং ভিকটিমদের টিমসিটি সার্ভারের প্রশাসক নিয়ন্ত্রণ লাভ করতে পারে, একটি অনুসারে টিমসিটি থেকে ব্লগ পোস্ট.
ত্রুটিগুলি খুঁজে পাওয়া গেছে এবং ফেব্রুয়ারিতে Rapid7 দ্বারা রিপোর্ট করা হয়েছে, কোম্পানিটি যোগ করেছে। র্যাপিড৭ টিম দ্রুতই সম্পূর্ণ প্রযুক্তিগত বিশদ প্রকাশ করতে প্রস্তুত, 7 পর্যন্ত টিমসিটি অন-প্রিমিসেস সংস্করণগুলি চালাতে থাকা দলগুলির জন্য হুমকি অভিনেতারা সুযোগটি ধরার আগে তাদের সিস্টেমগুলিকে প্যাচ করা অপরিহার্য করে তুলেছে, কোম্পানি পরামর্শ দিয়েছে।
একটি আপডেট করা TeamCity সংস্করণ, 2023-11.4 প্রকাশ করার পাশাপাশি, বিক্রেতা দ্রুত আপগ্রেড করতে অক্ষম দলগুলির জন্য একটি নিরাপত্তা প্যাচ প্লাগইন অফার করেছে।
CI/CD পরিবেশ সফ্টওয়্যার সাপ্লাই চেইনের জন্য মৌলিক, এটিকে অত্যাধুনিক অ্যাডভান্সড পারসিসটেন্ট থ্রেট (APT) গ্রুপের জন্য একটি আকর্ষণীয় আক্রমণ ভেক্টর করে তোলে।
জেটব্রেইনস টিমসিটি বাগ সফ্টওয়্যার সাপ্লাই চেইনকে বিপন্ন করে
2023 সালের শেষের দিকে, সরকারগুলি বিশ্বব্যাপী শঙ্কা উত্থাপন করেছিল যে রাশিয়ান রাষ্ট্র-সমর্থিত গ্রুপ APT29 (ওরফে নোবেলিয়াম, মিডনাইট ব্লিজার্ড এবং কোজি বিয়ার - 2020-এর পিছনে হুমকি অভিনেতা সোলারওয়াইন্ডস আক্রমণ) সক্রিয়ভাবে অনুরূপ শোষণ করছিল জেটব্রেইনস টিমসিটিতে দুর্বলতা এটি একইভাবে সফ্টওয়্যার সরবরাহ চেইন সাইবার আক্রমণের অনুমতি দিতে পারে।
"অনুমোদিত আক্রমণকারীর প্রমাণীকরণ চেকগুলিকে বাইপাস করার এবং প্রশাসনিক নিয়ন্ত্রণ লাভ করার ক্ষমতা শুধুমাত্র তাৎক্ষণিক পরিবেশের জন্যই নয়, এই ধরনের আপোসকৃত CI/CD পাইপলাইনের মাধ্যমে তৈরি ও স্থাপন করা সফ্টওয়্যারটির অখণ্ডতা এবং নিরাপত্তার জন্যও একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে," রায়ান স্মিথ , Deepfence জন্য পণ্য প্রধান, একটি বিবৃতিতে বলেন.
স্মিথ যোগ করেছেন যে ডেটা সাধারণভাবে সফ্টওয়্যার সরবরাহ চেইন সাইবার আক্রমণের ভলিউম এবং জটিলতা উভয় ক্ষেত্রেই একটি "উল্লেখযোগ্য বৃদ্ধি" দেখায়।
"সাম্প্রতিক JetBrains ঘটনাটি প্রম্পট দুর্বলতা ব্যবস্থাপনা এবং সক্রিয় হুমকি সনাক্তকরণ কৌশলগুলির সমালোচনার একটি প্রখর অনুস্মারক হিসাবে কাজ করে," স্মিথ বলেছেন। "চঞ্চলতা এবং স্থিতিস্থাপকতার সংস্কৃতিকে উত্সাহিত করার মাধ্যমে, সংস্থাগুলি উদীয়মান হুমকিগুলিকে ব্যর্থ করার এবং কার্যকরভাবে তাদের ডিজিটাল সম্পদগুলিকে সুরক্ষিত করার ক্ষমতা বাড়াতে পারে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain
- : হয়
- :না
- 000
- 11
- 2020
- 2023
- 30
- 7
- a
- ক্ষমতা
- অনুযায়ী
- দিয়ে
- সক্রিয়ভাবে
- অভিনেতা
- যোগ
- যোগ
- অ্যাডমিন
- প্রশাসনিক
- অগ্রসর
- পরামর্শ
- উপদেশক
- বিরুদ্ধে
- ওরফে
- বিপদাশঙ্কা
- অনুমতি
- ইতিমধ্যে
- এছাড়াও
- an
- এবং
- APT
- AS
- সম্পদ
- আক্রমণ
- আক্রমণকারী
- আকর্ষণীয়
- প্রমাণীকরণ
- BE
- বিয়ার
- হয়েছে
- আগে
- পিছনে
- হচ্ছে
- উভয়
- নম
- বাগ
- নির্মিত
- কিন্তু
- by
- পার্শ্বপথ
- CAN
- দঙ্গল
- চেন
- চেক
- সিটিব্যাঙ্ক
- কোড
- কোম্পানি
- জটিলতা
- সংকটাপন্ন
- নিয়ন্ত্রণ
- পারা
- সংকটপূর্ণ
- সমালোচনা
- সংস্কৃতি
- cyberattacks
- উপাত্ত
- মোতায়েন
- স্থাপনার
- বিস্তারিত
- সনাক্তকরণ
- উন্নত
- উন্নয়ন
- ডিজিটাল
- ডিজিটাল সম্পদ
- কার্যকরীভাবে
- শিরীষের গুঁড়ো
- উন্নত করা
- পরিবেশ
- পরশ্রমজীবী
- ফেব্রুয়ারি
- ফেরারী
- সংক্রান্ত ত্রুটিগুলি
- জন্য
- প্রতিপালক
- পাওয়া
- থেকে
- সম্পূর্ণ
- মৌলিক
- লাভ করা
- সাধারণ
- পাওয়া
- সরকার
- গ্রুপ
- গ্রুপের
- আছে
- মাথা
- HTTPS দ্বারা
- আশু
- অনুজ্ঞাসূচক
- in
- ঘটনা
- সুদ্ধ
- অখণ্ডতা
- IT
- JPG
- বিলম্বে
- জীবনচক্র
- মেকিং
- ব্যবস্থাপনা
- পরিচালক
- পরিচালনা করে
- মধ্যরাত্রি
- মাসের
- প্রয়োজন
- নতুন
- নাইকি
- স্মরণীয়
- of
- প্রদত্ত
- কেবল
- সম্মুখের দিকে
- সুযোগ
- সংগঠন
- যুগল
- গত
- তালি
- প্যাচিং
- পাইপলাইন
- মাচা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- প্লাগ লাগানো
- পয়েজড
- ভঙ্গি
- পোস্ট
- প্ররোচক
- প্রক্রিয়া
- পণ্য
- দ্রুত
- উত্থাপিত
- প্রভাব
- সাম্প্রতিক
- মুক্তি
- মুক্তি
- অনুস্মারক
- রিপোর্ট
- স্থিতিস্থাপকতা
- ঝুঁকি
- বৃত্তাকার
- দৌড়
- রাশিয়ান
- রায়ান
- s
- রক্ষা
- বলেছেন
- দ্বিতীয়
- নিরাপত্তা
- নিরাপত্তা প্যাচ
- সার্ভার
- স্থল
- শো
- গুরুত্বপূর্ণ
- অনুরূপ
- সেকরা
- সফটওয়্যার
- সফটওয়্যার উন্নয়ন
- সফ্টওয়্যার সরবরাহ শৃঙ্খলা
- বাস্তববুদ্ধিসম্পন্ন
- সম্পূর্ণ
- বিবৃতি
- কৌশল
- এমন
- সরবরাহ
- সরবরাহ শৃঙ্খল
- সিস্টেম
- টীম
- দল
- কারিগরী
- প্রমাণিত
- যে
- সার্জারির
- তাদের
- এই
- এই সপ্তাহ
- হুমকি
- হুমকি অভিনেতা
- হুমকি
- দ্বারা
- অনুপ্রস্থ
- থেকে
- টুল
- দুই
- অক্ষম
- অধীনে
- আপডেট
- আপগ্রেড
- ব্যবহৃত
- বিক্রেতা
- সংস্করণ
- সংস্করণ
- শিকার
- আয়তন
- দুর্বলতা
- দুর্বলতা
- সতর্ক
- ছিল
- সপ্তাহান্তিক কাল
- ছিল
- যে
- ব্যাপক
- বিশ্বব্যাপী
- zephyrnet