安全是有分量的

ddos防火墙_高防护服务器_指南

2022-05-12 01:50栏目:资讯

ddos防火墙_高防护服务器_指南

开源软件工具和保险库制造商HashiCorp披露了因最近的Codecov攻击而发生的安全事件。

Codecov客户HashiCorp表示,最近的Codecov供应链攻击旨在收集开发人员凭据,服务器防御cc攻击,导致HashiCorp的GPG签名密钥曝光。

HashiCorp使用私钥对软件发布进行签名和验证,并作为预防措施进行了轮换。

本周,著名的开源软件工具和基础设施提供商HashiCorp披露,最近的Codecov供应链攻击已经影响了其持续集成(CI)管道的一个子集。

该公司声明,因此,HashiCorp用于签署和验证软件版本的GPG密钥被公开。

Codecov为超过29000名客户提供软件测试和代码覆盖服务。

4月1日,Codecov得知,由于Docker图像中存在缺陷,威胁参与者获得了客户使用的Bash上传脚本的凭据。

Bash上传程序被恶意代码修改,将从某些客户的CI/CD环境收集的环境变量和机密泄漏到攻击者控制的服务器

根据Codecov的调查,Bash上传程序的最初妥协发生在1月31日,使得这次攻击持续了大约两个月。

在这一切中,百度云cc防御,阿波罗ddos防御体系,HashiCorp的GPG私钥被公开,该私钥对用于验证HashiCorp产品下载的哈希进行签名。

"虽然调查没有发现未经授权使用暴露的GPG密钥的证据,但为了保持可信的签名机制,已经对其进行了轮换。"

新的GPG密钥对(如下所示指纹)已发布,将从现在开始使用:

旧的、受损的GPG密钥对(如下所示指纹)已被撤销:

"已验证并重新签署现有版本",HashiCorp在安全事件披露中表示。

据HashiCorp称,这起事件只影响了HashiCorp的SHA256SUM签名机制。

MacOS代码签名(公证)以及HashiCorp版本的Windows AuthentiCode签名未受公开私钥的影响。

同样,Linux软件包(Debian和RPM)的签名也在发行版上提供。哈希科普。com不受影响。

然而,HashiCorp的建议确实指出,他们的Terraform产品尚未修补以使用新的GPG密钥。

Terraform是一种开源基础设施,作为代码软件工具,用于安全、可预测地创建、更改和改进基础设施。

HashiCorp的产品安全总监Jamie Finnigan表示:"Terraform在Terraform init操作期间自动下载提供商二进制文件,浅谈DDos攻击攻击与防御,高防cdn504错误,并在此过程中执行签名验证。"该公司声明,将发布Terraform和相关工具的补丁版本,在自动代码验证期间使用新的GPG密钥。

"在短期内,传输级TLS保护初始化期间下载的官方Terraform提供程序二进制文件,可以使用新密钥和签名对Terraform及其提供程序进行手动验证,如中所述https://hashicorp.com/security,"Finnigan在安全咨询中继续说道。

作为事件响应活动的一部分,HashiCorp正在进一步调查是否有任何其他信息从Codecov事件中泄露,并计划随着调查的进展提供相关更新。

据BleepingComputer本周早些时候报道,数百名Codecov cu据报道,stomer网络因Codecov Bash上传程序泄露而遭到破坏。

美国联邦调查人员也介入调查,并正在与Codecov及其客户合作,调查此次攻击的全部影响。

因此,预计未来几周将有来自不同客户的更多安全信息披露。

软件供应链攻击持续上升,成为威胁参与者的最新焦点。

就在昨天,BleepingComputer报告称,许多财富500强客户使用的密码State enterprise password manager在一次供应链攻击中遭到黑客攻击。