سرکل سی آئی سیکیورٹی واقعے کے بعد خفیہ گردش کی سفارش کی گئی۔

CicleCI میں حال ہی میں افشا ہونے والے سیکیورٹی واقعے نے صارفین کو اپنے سسٹم کے اندر موجود کسی بھی راز کو اپ ڈیٹ کرنے کے لیے پریشان کر دیا ہے۔

CI/CD DevOps پلیٹ فارم کے صارفین کو اپنے محفوظ ڈیٹا کو اپ ڈیٹ کرنے کی ضرورت ہے — جس میں ٹوکنز اور تمام قسم کے کیز شامل ہیں — اسٹیٹ، کمپنی نے اپنے 4 جنوری کے اعلان اور باقاعدہ، بعد میں اپ ڈیٹس میں کہا۔

تاہم، کمپنی نے اپنے صارفین کو یقین دلایا کہ سرکل سی آئی کے ساتھ ایپلی کیشنز بنانا اب بھی محفوظ ہے۔

ٹولز کا اشتراک کرنے کے علاوہ ٹیموں کو سبھی کو ٹریک کرنے میں مدد کرنے کے لیے ممکنہ طور پر متاثر ہونے والے راز, CircleCI نے اعلان کیا کہ وہ AWS کے ساتھ بھی کام کر رہا ہے تاکہ ان لوگوں کو مطلع کیا جا سکے جن کی ممکنہ خلاف ورزی کی گئی ہے۔ CircleCI نے کہا کہ کمپنی نے فعال طور پر GitHub اور Bitbucket 0Auth ٹوکنز کو بھی اپ ڈیٹ کیا۔ اطلاع دی

CircleCI نے بھی صارفین کو خبردار کیا کہ a کٹائی کی سند کا اسکینڈل گردش کر رہا ہے، کوشش کر رہا ہے کہ متاثرین کو ان کے GitHub لاگ ان میں ایک جعلی سروس اپ ڈیٹ کے ساتھ داخل کرایا جائے۔

سرکل سی آئی سیکیورٹی واقعہ کا نتیجہ

کے نوٹیفکیشن کے بعد سرکل سی آئی سیکیورٹی واقعہ, Datadog کے محققین نے دریافت کیا کہ RPM GNU پرائیویسی گارڈ (GPG) پرائیویٹ سائننگ کلید اور اس کا پاس ورڈ بھی کمزور ہیں۔ اگرچہ Datadog ٹیم کو استحصال کا کوئی ثبوت نہیں ملا، لیکن انہوں نے اپنی RPM کیز کو اپ ڈیٹ کر لیا ہے۔ ٹیم نے RPM پر مبنی لینکس ڈسٹری بیوشن چلانے والوں کے لیے کلیدی اپ ڈیٹس کی بھی سفارش کی جس میں سسٹم متاثرہ GPG کلید پر بھروسہ کرتا ہے۔

"سائننگ کلید، اگر حقیقت میں لیک ہو جائے تو، ایک RPM پیکج بنانے کے لیے استعمال کیا جا سکتا ہے جو لگتا ہے کہ یہ Datadog سے ہے، لیکن ہمارے آفیشل پیکج کے ذخیروں میں اس طرح کے پیکج کو رکھنا کافی نہیں ہوگا،" سے الرٹ ڈیٹا ڈوگ نے ​​وضاحت کی۔. "متاثرہ کلید کے ساتھ ایک فرضی حملہ آور کو تعمیر شدہ RPM پیکیج کو سسٹم کے ذریعہ استعمال ہونے والے ذخیرہ میں اپ لوڈ کرنے کی ضرورت ہوگی۔"