LINUX.ORG.RU
ФорумSecurity

Исследователь безопсности поимел доступ к серверам Apple, Microsoft, PayPal

 , ,


0

1

Краткое содержание. Разработчики не проверяют работу OpenSource пакетов, которые подключаются в исходные коды из публичных репозиториев. Чуваку удалось выложить свои обертки над стандартными пакетами в публичные репозитории, а разработчики указанных компаний - успешно обновили на них свои продукты. Речь идет о всяких CMS, генерирующих контент страниц из файлов.

https://www.theverge.com/2021/2/10/22276857/security-researcher-repository-exploit-apple-microsoft-vulnerability

А вы проверяете пакеты перед обновлениями версий или доверяете?

★★★★★

Последнее исправление: bvn13 (всего исправлений: 1)
соединение через tor
Школьник-слоупок о закладках

атаку на зависимости уже обсуждали?

Чуваку удалось выложить свои обертки над стандартными пакетами

суть в другом же, вроде. Если есть зависимость от какого-то недоступного публично пакета, то кто-то может опубликовать свой пакет с тем же именем и большей версией, который подтянется.

boowai ★★★★
()
Последнее исправление: boowai (всего исправлений: 2)
Ответ на: комментарий от boowai

Суть в том что незя всякое «овно», не подписанное известными подписями ставить в систему!

Если бы уважаемые корпорасты подписывали релизы своих пакетов и при установке проверяли подпись, то не подписание «овно» даже бы не распаковывалось.

Косяк их админов, привязка пакета к репам обязательна.

anonymous
()
Ответ на: комментарий от boowai

даже настоящий разработчик может выложить троян с какой-нибудь африканской прокси а потом сказать «i was hacked»

salozar
()

1362 пакета может быть обновлено. Блин… Эт чё теперь делать та (((((

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
соединение через tor
Security
Школьник-слоупок о закладках