təhlükəsizlik açıq mənbə element-data təhlükəli proqram verilənlər oğurluğu

Açıq mənbəli proqram təminatı aylıq 1 milyon yükləməyə malik olan və developerlərin hesab iş axınındakı zəifliyi istifadə edən hücumçular tərəfindən təhlükəsizlik açarı və digər həssas məlumatlara giriş əldə edildikdən sonra təhlükəli versiya yayımladı.

Cümə axşamı məlumatlara yetəri qədər daxil ola bilən naməlum hücumçular element-data adlı əməliyyat sisteminin performansını və maşın öyrənməsi sistemlərindəki anomaliyaları monitorinq edən komandir sətri interfeysinin təhlükəli versiyasını yayımladılar. Bu versiya istifadəçilərin sistemlərində aşağıdakı həssas məlumatları axtarırdı:

  • İstifadəçi profilləri;
  • Anbar məlumatlarına giriş;
  • Bulud xidmət provayderlərinin açarları;
  • API tokenləri;
  • SSH açarları.

Təhlükəli versiya 0.23.3 olaraq qeyd edildi və Python Package Index və Docker image hesablarına yerləşdirildi. Versiya cümə axşamından şənbə gününə qədər — təxminən 12 saat fəaliyyət göstərdikdən sonra ləğv edildi. Elementary Cloud, Elementary dbt paketi və digər CLI versiyaları təhlükəsiz olaraq qaldı.

Kompromis ehtimalı

«0.23.3 versiyasını quran və ya təhlükəli Docker image-ni yükləyib işə salan istifadəçilər sistemdəki bütün əlçatan məlumatların təhlükəsizliyinin təmin edilmədiyini nəzərə almalıdırlar,» — developerlər qeyd ediblər.
Mənbə: Ars Technica
2007 Mazda MX-5: Aston Martin stilində yenidən doğulmuş avtomobil
← Əvvəlki

2007 Mazda MX-5: Aston Martin stilində yenidən doğulmuş avtomobil

 Hakeem Jeffries: “Maximum müharibə” ifadəsi qızğın tənqidlərə baxmayaraq müdafiə olunur
Sonrakı →

Hakeem Jeffries: “Maximum müharibə” ifadəsi qızğın tənqidlərə baxmayar...