志愿者运营的开源项目中的脆弱性左API令牌完全暴露
开源软件包管理系统Homebrew修补了一个漏洞,使安全研究人员能够在半小时内访问GitHub存储库。
由由12名志愿者组成的团队经营的Homebrew,在他能够立即利用脆弱性之后,被白帽黑客埃里克·福尔摩斯(White Hat Hacker Eric Holmes)警告。
霍尔姆斯(Holmes)援引NPM,Rubygems和Gentoo的最新违规行为 - 提醒运营工程师 - 说他在研究有关包装管理系统的潜力被用作分发恶意软件的攻击矢量的潜力时遇到了这一错误。
他写道:“我发现自制的詹金斯实例(故意)在https://jenkins.brew.sh上公开暴露。”在他的博客中。
“经过一些挖掘,我注意到一些有趣的东西;在“自制瓶”项目中的建筑项目正在对Brewtestbot/Homebrew-core Repo进行身份验证的推动力。这让我思考,“存储在哪里?”
遵循“环境变量”的链接,福尔摩斯发现了一个裸露的github api代币,这使他可以使用三个核心自制储备库:自制/啤酒,啤酒,自制/啤酒/啤酒核心和自制啤酒/配方/配方。
而且,由于自制/家庭主核核心存储库没有受到保护的主分支,因此这将使他能够快速更改参考/头/主人/主人,插入任何新的安装或更新中都包含的恶意软件。
福尔摩斯向自制团队报告了脆弱性,他们立即撤销了证书并更新了存储库,因此非管理员将不再能够直接推向参考/主人/主人。
安全第二?
但是,作为团队指出,对于由志愿者组成的开源项目几乎不可能以与大公司相同的方式应对安全问题 - 该特定问题是由父亲休假的工作人员解决的,而他的孩子小睡了。
福尔摩斯认为,其他包裹经理也可能很脆弱。
他将自己能够妥协的自制方式描述为“最可怕的,可以说是最简单的方法”,指出妥协基础设施本身可以绕开任何制衡。但是,其他攻击向量也可能是可能的。
“一种方法是在软件包管理器的分发系统中妥协用户帐户。RubyGems,NPM,PYPI和Docker Hub等包装管理人员都有WebApps,无论是通过网络钓鱼还是以前的违规行为泄漏,都beplay体育能用吗可能是目标的目标。每日swbeplay2018官网ig。
“在这种情况下,备受瞩目的软件包的用户帐户可能会受到损害,并允许攻击者用后门替换现有版本的软件包。您可以想象一种场景,RubyGems的轨道维护者凭证被泄漏。”
福尔摩斯说,他希望使用强大形式的多因素身份验证工具(例如基于时间的一次性密码算法,又名TOTP)和Universal第二因素身份验证(U2F)来更加认真地认真对待身份验证和授权。
包装管理人员至少应支持签名的软件包和内容可寻址标识符,这些标识符可以在密码验证上进行验证以防止篡改。他还希望看到主要软件播放器的更多投资。
福尔摩斯警告说:“如果我们不将这些事情作为一个行业解决,我们将在未来几年遭受伤害的世界。”
