JetBrains TeamCity सॉफ़्टवेयर डेवलपमेंट प्लेटफ़ॉर्म मैनेजर के क्लाउड संस्करणों को पहले से ही महत्वपूर्ण कमजोरियों की एक नई जोड़ी के खिलाफ अपडेट किया गया है, लेकिन ऑन-प्रिमाइसेस तैनाती के लिए तत्काल पैचिंग की आवश्यकता है, इस सप्ताह विक्रेता की एक सुरक्षा सलाह में चेतावनी दी गई है।
यह दूसरा दौर है महत्वपूर्ण टीमसिटी कमजोरियाँ पिछले दो महीनों में. प्रभाव व्यापक हो सकते हैं: कंपनी के सॉफ्टवेयर डेवलपमेंट लाइफसाइकल (एसडीएलसी) प्लेटफॉर्म का उपयोग सिटीबैंक, नाइके और फेरारी सहित 30,000 संगठनों में किया जाता है।
टीमसिटी टूल सॉफ्टवेयर डेवलपमेंट सीआई/सीडी पाइपलाइन का प्रबंधन करता है, जो वह प्रक्रिया है जिसके द्वारा कोड बनाया, परीक्षण और तैनात किया जाता है। सीवीई-2024-27198 और सीवीई-2024-27199 के तहत ट्रैक की गई नई कमजोरियां, खतरे वाले अभिनेताओं को प्रमाणीकरण को बायपास करने और पीड़ित के टीमसिटी सर्वर पर व्यवस्थापक नियंत्रण हासिल करने की अनुमति दे सकती हैं। टीमसिटी से ब्लॉग पोस्ट.
कंपनी ने कहा कि फरवरी में रैपिड7 द्वारा खामियां पाई गईं और रिपोर्ट की गईं। कंपनी ने सलाह दी कि रैपिड7 टीम जल्द ही पूर्ण तकनीकी विवरण जारी करने के लिए तैयार है, जिससे 2023.11.3 तक टीमसिटी ऑन-प्रिमाइसेस संस्करण चलाने वाली टीमों के लिए खतरे के अभिनेताओं के अवसर पकड़ने से पहले अपने सिस्टम को पैच करना अनिवार्य हो जाएगा।
एक अद्यतन टीमसिटी संस्करण, 2023-11.4 जारी करने के अलावा, विक्रेता ने जल्दी से अपग्रेड करने में असमर्थ टीमों के लिए एक सुरक्षा पैच प्लगइन की पेशकश की।
सीआई/सीडी वातावरण सॉफ्टवेयर आपूर्ति श्रृंखला के लिए मौलिक है, जो इसे परिष्कृत उन्नत लगातार खतरे (एपीटी) समूहों के लिए एक आकर्षक हमला वेक्टर बनाता है।
JetBrains TeamCity बग सॉफ़्टवेयर आपूर्ति शृंखला को खतरे में डालता है
2023 के अंत में, दुनिया भर की सरकारों ने चिंता जताई कि रूसी राज्य समर्थित समूह APT29 (उर्फ नोबेलियम, मिडनाइट ब्लिज़ार्ड और कोज़ी बियर - 2020 के पीछे ख़तरा अभिनेता हैं) सोलरवाइंड पर हमला) सक्रिय रूप से एक समान शोषण कर रहा था JetBrains TeamCity में भेद्यता जो इसी तरह सॉफ्टवेयर आपूर्ति श्रृंखला साइबर हमलों की अनुमति दे सकता है।
"एक अप्रमाणित हमलावर की प्रमाणीकरण जांच को बायपास करने और प्रशासनिक नियंत्रण हासिल करने की क्षमता न केवल तत्काल पर्यावरण के लिए बल्कि ऐसे समझौता किए गए सीआई/सीडी पाइपलाइनों के माध्यम से विकसित और तैनात किए जा रहे सॉफ़्टवेयर की अखंडता और सुरक्षा के लिए भी महत्वपूर्ण जोखिम पैदा करती है," रयान स्मिथ डीपफेंस के उत्पाद प्रमुख ने एक बयान में कहा।
स्मिथ ने कहा कि डेटा सामान्य तौर पर सॉफ्टवेयर आपूर्ति श्रृंखला साइबर हमलों की मात्रा और जटिलता दोनों में "उल्लेखनीय वृद्धि" दिखाता है।
स्मिथ ने कहा, "हालिया जेटब्रेन घटना त्वरित भेद्यता प्रबंधन और सक्रिय खतरे का पता लगाने की रणनीतियों की गंभीरता की याद दिलाती है।" "चपलता और लचीलेपन की संस्कृति को बढ़ावा देकर, संगठन उभरते खतरों को विफल करने और अपनी डिजिटल संपत्तियों को प्रभावी ढंग से सुरक्षित रखने की अपनी क्षमता बढ़ा सकते हैं।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/application-security/critical-teamcity-bugs-endanger-software-supply-chain
- :है
- :नहीं
- 000
- 11
- 2020
- 2023
- 30
- 7
- a
- क्षमता
- अनुसार
- के पार
- सक्रिय रूप से
- अभिनेताओं
- जोड़ा
- इसके अलावा
- व्यवस्थापक
- प्रशासनिक
- उन्नत
- सलाह दी
- सलाहकार
- के खिलाफ
- उर्फ
- अलार्म
- अनुमति देना
- पहले ही
- भी
- an
- और
- APT
- AS
- संपत्ति
- आक्रमण
- आक्रांता
- आकर्षक
- प्रमाणीकरण
- BE
- भालू
- किया गया
- से पहले
- पीछे
- जा रहा है
- के छात्रों
- दोष
- कीड़े
- बनाया गया
- लेकिन
- by
- उपमार्ग
- कर सकते हैं
- कुश्ती
- श्रृंखला
- जाँचता
- सिटीबैंक
- कोड
- कंपनी
- जटिलता
- छेड़छाड़ की गई
- नियंत्रण
- सका
- महत्वपूर्ण
- निर्णायक मोड़
- संस्कृति
- साइबर हमले
- तिथि
- तैनात
- तैनाती
- विवरण
- खोज
- विकसित
- विकास
- डिजिटल
- डिजिटल आस्तियां
- प्रभावी रूप से
- कस्र्न पत्थर
- बढ़ाना
- वातावरण
- शोषण
- फरवरी
- फेरारी
- खामियां
- के लिए
- को बढ़ावा देने
- पाया
- से
- पूर्ण
- मौलिक
- लाभ
- सामान्य जानकारी
- मिल
- सरकारों
- समूह
- समूह की
- है
- सिर
- HTTPS
- तत्काल
- अनिवार्य
- in
- घटना
- सहित
- ईमानदारी
- IT
- जेपीजी
- देर से
- जीवन चक्र
- निर्माण
- प्रबंध
- प्रबंधक
- प्रबंधन करता है
- आधी रात
- महीने
- आवश्यकता
- नया
- नाइके
- प्रसिद्ध
- of
- प्रस्तुत
- केवल
- पर
- अवसर
- संगठनों
- जोड़ा
- अतीत
- पैच
- पैच
- पाइपलाइन
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- लगाना
- की ओर अग्रसर
- बन गया है
- पद
- प्रोएक्टिव
- प्रक्रिया
- एस्ट्रो मॉल
- जल्दी से
- उठाया
- असर
- हाल
- और
- को रिहा
- अनुस्मारक
- की सूचना दी
- पलटाव
- जोखिम
- दौर
- दौड़ना
- रूसी
- रयान
- s
- रक्षा
- कहा
- दूसरा
- सुरक्षा
- सुरक्षा पैच
- सर्वर
- कार्य करता है
- दिखाता है
- महत्वपूर्ण
- समान
- स्मिथ
- सॉफ्टवेयर
- सॉफ्टवेयर विकास
- सॉफ्टवेयर आपूर्ति श्रृंखला
- परिष्कृत
- निरा
- कथन
- रणनीतियों
- ऐसा
- आपूर्ति
- आपूर्ति श्रृंखला
- सिस्टम
- टीम
- टीमों
- तकनीकी
- परीक्षण किया
- कि
- RSI
- लेकिन हाल ही
- इसका
- इस सप्ताह
- धमकी
- खतरों के खिलाड़ी
- धमकी
- यहाँ
- विफल
- सेवा मेरे
- साधन
- दो
- असमर्थ
- के अंतर्गत
- अद्यतन
- उन्नयन
- प्रयुक्त
- विक्रेता
- संस्करण
- संस्करणों
- शिकार
- आयतन
- कमजोरियों
- भेद्यता
- आगाह
- था
- सप्ताह
- थे
- कौन कौन से
- चौड़ा
- दुनिया भर
- जेफिरनेट