אירוע האבטחה שנחשף לאחרונה ב-CicleCI העמיד לקוחות בקושי לעדכן את כל הסודות המאוחסנים במערכות שלהם.
לקוחות של פלטפורמת CI/CD DevOps צריכים לעדכן את הנתונים המוגנים שלהם - החל מאסימונים ומפתחות מכל הסוגים - סטטיסטיקה, אמרה החברה בהודעתה מ-4 בינואר ועדכונים שוטפים לאחר מכן.
עם זאת, החברה הבטיחה למשתמשים שלה שזה עדיין בטוח לבנות אפליקציות עם CircleCI.
מלבד שיתוף כלים שיעזרו לצוותים לאתר את כל סודות שעלולים להשפיע, CircleCI הודיעה שהיא גם עובדת עם AWS כדי להודיע לאלו שיש להם אסימונים שנפרצו. החברה עדכנה באופן יזום גם את אסימוני GitHub ו-Bitbucket 0Auth, אמר CircleCI. דיווח.
CircleCI גם הזהירה לקוחות מפני א תרמית קצירת אישורים מסתובב, מנסה לגרום לקורבנות להיכנס לכניסות GitHub שלהם עם עדכון מזויף של תנאי השירות.
תקרית אבטחה של CircleCI
בעקבות הודעת ה אירוע אבטחה CircleCI, חוקרים ב-Datadog גילו שגם מפתח חתימה פרטי של RPM GNU Privacy Guard (GPG) והסיסמה שלו היו פגיעים. למרות שצוות Datadog לא מצא עדות לניצול, הם עדכנו את מפתחות ה-RPM שלהם. הצוות גם המליץ על עדכוני מפתח לאלה המפעילים הפצת לינוקס מבוססת RPM שבה המערכת סומכת על מפתח ה-GPG המושפע.
"מפתח החתימה, אם אכן דלף, יכול לשמש לבניית חבילת RPM שנראית כאילו היא מ-Datadog, אבל זה לא יספיק למקם חבילה כזו במאגרי החבילות הרשמיים שלנו", ההתראה מאת דאטהדוג הסביר. "תוקף היפותטי עם המפתח המושפע יצטרך להיות מסוגל להעלות את חבילת ה-RPM שנבנתה למאגר המשמש את המערכת."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/application-security/secrets-rotation-recommended-after-circleci-security-incident
- 10
- 7
- a
- יכול
- למעשה
- לאחר
- ערני
- תעשיות
- למרות
- ו
- הודיע
- הַכרָזָה
- יישומים
- AWS
- הפרה
- לִבנוֹת
- מַחזוֹרִי
- חברה
- לבנות
- יכול
- לקוחות
- אבטחת סייבר
- יומי
- נתונים
- נתוני פרה
- נתן
- גילה
- הפצה
- מטה
- אמייל
- מתעורר
- מספיק
- זן
- עדות
- מצא
- החל מ-
- לקבל
- GitHub
- שומר
- קְצִיר
- לעזור
- HTTPS
- מושפעים
- in
- תקרית
- מידע
- IT
- יאן
- מפתח
- מפתחות
- האחרון
- לינוקס
- נראה
- MPL
- צורך
- הודעה
- רשמי
- פועל
- חבילה
- סיסמה
- מקום
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרי
- פְּרָטִיוּת
- פְּרָטִי
- מוּגָן
- גם
- טִוּוּחַ
- לאחרונה
- מוּמלָץ
- רגיל
- דווח
- מאגר
- חוקרים
- בטוח
- אמר
- אבטחה
- שרות
- שיתוף
- חתימה
- עוד
- הירשמו
- לאחר מכן
- כזה
- מערכת
- מערכות
- נבחרת
- צוותי
- מונחים
- השמיים
- שֶׁלָהֶם
- איומים
- ל
- מטבעות
- כלים
- לעקוב
- מגמות
- נאמנויות
- עדכון
- מְעוּדכָּן
- עדכונים
- משתמשים
- קורבנות
- פגיעויות
- פגיע
- שבועי
- אשר
- עובד
- היה
- זפירנט