ثغرة أمنية اختراق أمني element-data حزمة مفتوحة المصدر بيانات اعتماد Python Package Index

تعرضت حزمة برمجية مفتوحة المصدر شهيرة، تُعرف باسم element-data، للاختراق بعد استغلال ثغرة أمنية في نظام عمل المطورين. حيث تمكن مهاجمون مجهولون من الوصول إلى مفاتيح التوقيع والمعلومات الحساسة، مما سمح لهم بنشر نسخة ضارة من الحزمة.

تم نشر النسخة الضارة، التي تحمل الرقم 0.23.3، في سجل Python Package Index وحساب Docker الخاص بالمطورين. وقد تمكنت الحزمة من الوصول إلى البيانات الحساسة في الأنظمة التي تم تشغيلها عليها، بما في ذلك:

  • ملفات تعريف المستخدمين
  • بيانات اعتماد المستودعات (warehouse credentials)
  • مفاتيح مزودي السحابة (cloud provider keys)
  • رموز API
  • مفاتيح SSH

تم اكتشاف الحزمة الضارة وإزالتها بعد حوالي 12 ساعة من نشرها، في يوم السبت. ولم تتأثر أي من إصدارات Elementary Cloud أو حزمة Elementary dbt أو أي من إصدارات واجهة سطر الأوامر الأخرى.

إجراءات السلامة الموصى بها

أوصى المطورون المستخدمين الذين قاموا بتثبيت الإصدار 0.23.3 أو قاموا بتشغيل الصورة الضارة من Docker باتخاذ الإجراءات التالية:

«يجب على المستخدمين الذين قاموا بتثبيت الإصدار 0.23.3 أو قاموا بسحب وتشغيل الصورة الضارة من Docker افتراض أن أي بيانات اعتماد كانت متاحة للبيئة التي تم تشغيل الحزمة فيها قد تكون معرضة للخطر.»

كما حث المطورون المستخدمين على مراجعة جميع بيانات الاعتماد الخاصة بهم وتغييرها فوراً، خاصة تلك المستخدمة في بيئات التطوير أو النشر.

المصدر: Ars Technica
سيارة مازدا إم إكس-5 2007 تتحول إلى نسخة من أستون مارتن فاخرة
← السابق

سيارة مازدا إم إكس-5 2007 تتحول إلى نسخة من أستون مارتن فاخرة

 جيفريس يرد على انتقادات الجمهوريين: «الحرب القصوى» وصف دقيق لصراعات التوزيع الجغرافي
التالي →

جيفريس يرد على انتقادات الجمهوريين: «الحرب القصوى» وصف دقيق لصراعات ال...