सर्कलसीआई सुरक्षा घटना के बाद सिक्रेट रोटेशन की सिफारिश की गई

CicleCI में हाल ही में प्रकट की गई सुरक्षा घटना ने ग्राहकों को अपने सिस्टम के अंदर रखे किसी भी रहस्य को अपडेट करने के लिए चुटकी में डाल दिया है।

CI/CD DevOps प्लेटफॉर्म के ग्राहकों को अपने संरक्षित डेटा को अपडेट करने की जरूरत है - टोकन और सभी प्रकार की चाबियों से लेकर - स्टेट, कंपनी ने 4 जनवरी की घोषणा और नियमित, बाद के अपडेट में कहा।

हालाँकि, कंपनी ने अपने उपयोगकर्ताओं को आश्वासन दिया कि सर्कलसीआई के साथ एप्लिकेशन बनाना अभी भी सुरक्षित है।

टीमों को सभी को ट्रैक करने में मदद करने के लिए टूल साझा करने के अलावा संभावित रूप से प्रभावित रहस्य, CircleCI ने घोषणा की कि यह एडब्ल्यूएस के साथ भी काम कर रहा है ताकि उन लोगों को सूचित किया जा सके कि टोकन का उल्लंघन संभव है। CircleCI ने कहा कि कंपनी ने सक्रिय रूप से GitHub और Bitbucket 0Auth टोकन को भी अपडेट किया है। की सूचना दी।

CircleCI ने ग्राहकों को a क्रेडेंशियल हार्वेस्टिंग घोटाला फर्जी सेवा शर्तों के अपडेट के साथ पीड़ितों को उनके GitHub लॉगिन में प्रवेश कराने की कोशिश कर रहा है।

CircleCI सिक्योरिटी इंसिडेंट फॉलआउट

की अधिसूचना के बाद CircleCI सुरक्षा घटना, डेटाडॉग के शोधकर्ताओं ने पाया कि एक RPM GNU प्राइवेसी गार्ड (GPG) प्राइवेट साइनिंग की और इसका पासवर्ड भी असुरक्षित थे। हालाँकि डेटाडॉग टीम को शोषण का कोई सबूत नहीं मिला, लेकिन उन्होंने अपनी RPM कुंजियों को अपडेट कर दिया है। टीम ने RPM-आधारित लिनक्स वितरण का संचालन करने वालों के लिए प्रमुख अद्यतनों की भी सिफारिश की जिसमें सिस्टम प्रभावित GPG कुंजी पर भरोसा करता है।

"हस्ताक्षर कुंजी, यदि वास्तव में लीक हुई है, तो RPM पैकेज का निर्माण करने के लिए इस्तेमाल किया जा सकता है जो ऐसा लगता है कि यह डेटाडॉग से है, लेकिन यह हमारे आधिकारिक पैकेज रिपॉजिटरी में इस तरह के पैकेज को रखने के लिए पर्याप्त नहीं होगा," से चेतावनी डेटाडॉग ने समझाया. "प्रभावित कुंजी के साथ एक काल्पनिक हमलावर को सिस्टम द्वारा उपयोग किए जाने वाले रिपॉजिटरी में निर्मित RPM पैकेज को अपलोड करने में सक्षम होने की आवश्यकता होगी।"