Το περιστατικό ασφαλείας που αποκαλύφθηκε πρόσφατα στο CicleCI έχει βάλει τους πελάτες σε δύσκολη θέση να ενημερώσουν τυχόν μυστικά που έχουν αποθηκευτεί στα συστήματά τους.
Οι πελάτες της πλατφόρμας CI/CD DevOps πρέπει να ενημερώνουν τα προστατευμένα δεδομένα τους —που κυμαίνονται από διακριτικά και κλειδιά κάθε είδους—, είπε η εταιρεία στην ανακοίνωσή της στις 4 Ιανουαρίου και σε τακτικές, επόμενες ενημερώσεις.
Ωστόσο, η εταιρεία διαβεβαίωσε τους χρήστες της ότι εξακολουθεί να είναι ασφαλής η δημιουργία εφαρμογών με το CircleCI.
Εκτός από την κοινή χρήση εργαλείων που βοηθούν τις ομάδες να εντοπίσουν όλα τα μυστικά που ενδέχεται να επηρεαστούν, η CircleCI ανακοίνωσε ότι συνεργάζεται επίσης με το AWS για να ειδοποιήσει όσους έχουν πιθανή παραβίαση διακριτικών. Η εταιρεία ενημέρωσε προληπτικά και τα διακριτικά GitHub και Bitbucket 0Auth, είπε η CircleCI. έχουν αναφερθεί.
Το CircleCI προειδοποίησε επίσης τους πελάτες για α απάτη συγκομιδής διαπιστευτηρίων κυκλοφορούν, προσπαθώντας να πείσουν τα θύματα να εισαγάγουν τις συνδέσεις τους στο GitHub με μια ψεύτικη ενημέρωση Όρων Παροχής Υπηρεσιών.
Fallout περιστατικού ασφαλείας CircleCI
Μετά την κοινοποίηση του Συμβάν ασφαλείας CircleCI, ερευνητές στο Datadog ανακάλυψαν ότι ένα ιδιωτικό κλειδί υπογραφής RPM GNU Privacy Guard (GPG) και ο κωδικός πρόσβασής του ήταν επίσης ευάλωτα. Αν και η ομάδα Datadog δεν βρήκε στοιχεία εκμετάλλευσης, έχει ενημερώσει τα κλειδιά RPM. Η ομάδα συνέστησε επίσης ενημερώσεις κλειδιών για όσους χρησιμοποιούν μια διανομή Linux που βασίζεται σε RPM, στην οποία το σύστημα εμπιστεύεται το κλειδί GPG που επηρεάζεται.
«Το κλειδί υπογραφής, εάν πράγματι διέρρευσε, θα μπορούσε να χρησιμοποιηθεί για την κατασκευή ενός πακέτου RPM που μοιάζει σαν να είναι από το Datadog, αλλά δεν θα ήταν αρκετό να τοποθετήσουμε ένα τέτοιο πακέτο στα επίσημα αποθετήρια πακέτων μας», η ειδοποίηση από Εξήγησε ο Datadog. "Ένας υποθετικός εισβολέας με το κλειδί που επηρεάζεται θα πρέπει να μπορεί να ανεβάσει το κατασκευασμένο πακέτο RPM σε ένα αποθετήριο που χρησιμοποιείται από το σύστημα."
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/secrets-rotation-recommended-after-circleci-security-incident
- 10
- 7
- a
- Ικανός
- πραγματικά
- Μετά το
- Ειδοποίηση
- Όλα
- Αν και
- και
- ανακοίνωσε
- Ανακοίνωσεις
- εφαρμογές
- AWS
- παραβίαση
- χτίζω
- που κυκλοφορεί
- εταίρα
- κατασκευάσει
- θα μπορούσε να
- Πελάτες
- Κυβερνασφάλεια
- καθημερινά
- ημερομηνία
- παραβιάσεων δεδομένων
- παραδίδεται
- ανακάλυψαν
- διανομή
- κάτω
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- σμυριδόπετρα
- αρκετά
- εισάγετε
- απόδειξη
- Βρέθηκαν
- από
- παίρνω
- GitHub
- φρουρά
- συγκομιδή
- βοήθεια
- HTTPS
- επηρεάζονται
- in
- περιστατικό
- πληροφορίες
- IT
- Ιανουάριος
- Κλειδί
- πλήκτρα
- αργότερο
- linux
- ΦΑΊΝΕΤΑΙ
- MPL
- Ανάγκη
- κοινοποίηση
- επίσημος ανώτερος υπάλληλος
- λειτουργίας
- πακέτο
- Κωδικός Πρόσβασης
- Μέρος
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δυνατός
- μυστικότητα
- ιδιωτικός
- προστατεύονται
- βάζω
- κυμαίνεται
- πρόσφατα
- συνιστάται
- τακτικός
- αναφέρθηκαν
- Αποθήκη
- ερευνητές
- ένα ασφαλές
- Είπε
- ασφάλεια
- υπηρεσία
- μοιράζονται
- υπογραφή
- Ακόμη
- συνεισφέρω
- μεταγενέστερος
- τέτοιος
- σύστημα
- συστήματα
- ομάδες
- όροι
- Η
- τους
- απειλές
- προς την
- κουπόνια
- εργαλεία
- τροχιά
- Τάσεις
- τραστ
- Ενημέρωση
- ενημερώθηκε
- ενημερώσεις
- Χρήστες
- θύματα
- Θέματα ευπάθειας
- Ευάλωτες
- εβδομαδιαίος
- Ποιό
- εργαζόμενος
- θα
- Σας
- zephyrnet