CicleCI में हाल ही में प्रकट की गई सुरक्षा घटना ने ग्राहकों को अपने सिस्टम के अंदर रखे किसी भी रहस्य को अपडेट करने के लिए चुटकी में डाल दिया है।
CI/CD DevOps प्लेटफॉर्म के ग्राहकों को अपने संरक्षित डेटा को अपडेट करने की जरूरत है - टोकन और सभी प्रकार की चाबियों से लेकर - स्टेट, कंपनी ने 4 जनवरी की घोषणा और नियमित, बाद के अपडेट में कहा।
हालाँकि, कंपनी ने अपने उपयोगकर्ताओं को आश्वासन दिया कि सर्कलसीआई के साथ एप्लिकेशन बनाना अभी भी सुरक्षित है।
टीमों को सभी को ट्रैक करने में मदद करने के लिए टूल साझा करने के अलावा संभावित रूप से प्रभावित रहस्य, CircleCI ने घोषणा की कि यह एडब्ल्यूएस के साथ भी काम कर रहा है ताकि उन लोगों को सूचित किया जा सके कि टोकन का उल्लंघन संभव है। CircleCI ने कहा कि कंपनी ने सक्रिय रूप से GitHub और Bitbucket 0Auth टोकन को भी अपडेट किया है। की सूचना दी।
CircleCI ने ग्राहकों को a क्रेडेंशियल हार्वेस्टिंग घोटाला फर्जी सेवा शर्तों के अपडेट के साथ पीड़ितों को उनके GitHub लॉगिन में प्रवेश कराने की कोशिश कर रहा है।
CircleCI सिक्योरिटी इंसिडेंट फॉलआउट
की अधिसूचना के बाद CircleCI सुरक्षा घटना, डेटाडॉग के शोधकर्ताओं ने पाया कि एक RPM GNU प्राइवेसी गार्ड (GPG) प्राइवेट साइनिंग की और इसका पासवर्ड भी असुरक्षित थे। हालाँकि डेटाडॉग टीम को शोषण का कोई सबूत नहीं मिला, लेकिन उन्होंने अपनी RPM कुंजियों को अपडेट कर दिया है। टीम ने RPM-आधारित लिनक्स वितरण का संचालन करने वालों के लिए प्रमुख अद्यतनों की भी सिफारिश की जिसमें सिस्टम प्रभावित GPG कुंजी पर भरोसा करता है।
"हस्ताक्षर कुंजी, यदि वास्तव में लीक हुई है, तो RPM पैकेज का निर्माण करने के लिए इस्तेमाल किया जा सकता है जो ऐसा लगता है कि यह डेटाडॉग से है, लेकिन यह हमारे आधिकारिक पैकेज रिपॉजिटरी में इस तरह के पैकेज को रखने के लिए पर्याप्त नहीं होगा," से चेतावनी डेटाडॉग ने समझाया. "प्रभावित कुंजी के साथ एक काल्पनिक हमलावर को सिस्टम द्वारा उपयोग किए जाने वाले रिपॉजिटरी में निर्मित RPM पैकेज को अपलोड करने में सक्षम होने की आवश्यकता होगी।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/secrets-rotation-recommended-after-circleci-security-incident
- 10
- 7
- a
- योग्य
- वास्तव में
- बाद
- चेतावनी
- सब
- हालांकि
- और
- की घोषणा
- घोषणा
- अनुप्रयोगों
- एडब्ल्यूएस
- भंग
- निर्माण
- घूम
- कंपनी
- निर्माण
- सका
- ग्राहक
- साइबर सुरक्षा
- दैनिक
- तिथि
- डेटा भंग
- दिया गया
- की खोज
- वितरण
- नीचे
- ईमेल
- कस्र्न पत्थर
- पर्याप्त
- दर्ज
- सबूत
- पाया
- से
- मिल
- GitHub
- गार्ड
- कटाई
- मदद
- HTTPS
- असर पड़ा
- in
- घटना
- करें-
- IT
- जॉन
- कुंजी
- Instagram पर
- ताज़ा
- लिनक्स
- लग रहा है
- एमपीएल
- आवश्यकता
- अधिसूचना
- सरकारी
- परिचालन
- पैकेज
- पासवर्ड
- जगह
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- संभव
- एकांत
- निजी
- संरक्षित
- रखना
- लेकर
- हाल ही में
- की सिफारिश की
- नियमित
- की सूचना दी
- कोष
- शोधकर्ताओं
- सुरक्षित
- कहा
- सुरक्षा
- सेवा
- बांटने
- पर हस्ताक्षर
- फिर भी
- सदस्यता के
- आगामी
- ऐसा
- प्रणाली
- सिस्टम
- टीम
- टीमों
- शर्तों
- RSI
- लेकिन हाल ही
- धमकी
- सेवा मेरे
- टोकन
- उपकरण
- ट्रैक
- रुझान
- न्यास
- अपडेट
- अद्यतन
- अपडेट
- उपयोगकर्ताओं
- शिकार
- कमजोरियों
- चपेट में
- साप्ताहिक
- कौन कौन से
- काम कर रहे
- होगा
- आपका
- जेफिरनेट