首页 > 最新消息 >[资安人文章分享] GitHub 新漏洞可能导致 4000 多个程式库被劫持攻击
最新消息
2023-09-15
[资安人文章分享] GitHub 新漏洞可能导致 4000 多个程式库被劫持攻击
外媒披露GitHub一个新漏洞,该漏洞可能导致数千个程式储存库面临劫持攻击的风险。据了解,目前微软旗下的程式码托管平台已于 2023 年 9 月初解决此漏洞问题。
Checkmarx 安全研究员表示,一旦网路攻击者成功利用此漏洞,就可以劫持使用 Go、PHP 和 Swift 等语言的 4000 多个程式码包以及 GitHub 操作,整体影响开源社群的安全。
Repocapping 是存储库劫持(repository hijacking)的简称,是一种威胁攻击者能够绕过名为 popular repository namespace retirement 的安全机制,并最终控制存储库的技术。Popular repository namespace retirement的安全机制是在防止多个使用者使用相同命名的程式库。也就是说,多个重复的使用者名称与程式库的组合会被视为retired (已退役)。
如果此安全机制被绕过,威胁攻击者就可以用相同的用户名建立新帐户并上传恶意程式库,从而可能导致软体供应链攻击。
GitHub也曾在九个月前修补了一个相似的安全绕过漏洞,该漏洞可能会为劫持攻击打开方便之门,用户应留意。
原文连结:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10689