🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Nhiều lỗ hổng bảo mật được phát hiện trong các phần mềm quản lý phổ biến

14/03/2022

Nhiều lỗ hổng bảo mật đã được phát hiện trong các package manager (phần mềm quản lý) phổ biến, có khả năng đã bị khai thác, cho phép kẻ tấn công thực thi mã tùy ý và truy cập thông tin nhạy cảm, bao gồm mã nguồn và access tokens từ các máy bị xâm nhập.

Nhà nghiên cứu Paul Gerste của SonarSource cho biết: “Để khai thác tấn công, tin tặc cần lừa các nhà phát triển tải các tệp không đúng định dạng và thực thi chúng”.

Package managersnhững hệ thống hoặc bộ công cụ dùng để tự động cài đặt, nâng cấp, cấu hình các thành phần cần thiết (dependencies required) của bên thứ ba để phát triển ứng dụng.

Luôn có những rủi ro bảo mật tiềm ẩn bên trong các thư viện của bên thứ ba, có thể do các cuộc tấn công typosquatting dependency confusion gây ra, vì vậy các nhà phát triển cần kiểm tra kỹ lưỡng trước khi phát hành chúng.

Các lỗ hổng mới được phát hiện trong nhiều công cụ quản lý khác nhau, có thể bị những kẻ tấn công lạm dụng để lừa nạn nhân thực thi mã độc, bao gồm:

- Composer phiên bản 1.x < 1.10.23 và 2.x < 2.1.9

- Bundler phiên bản trước 2.2.33

- Bower phiên bản trước 1.8.13

- Poetry phiên bản trước 1.1.9

- Yarn phiên bản trước 1.22.13

- pnpm phiên bản trước 6.15.1

- Pip (chưa có bản vá)

- Pipenv (chưa có bản vá)

Nghiêm trọng trong số đó là lỗ hổng command injection trong browse command của Composer có thể bị lạm dụng để thực thi mã tùy ý bằng cách chèn URL vào một package độc hại đã được phát hành.

Ngoài ra, các lỗ hổng argument injection and untrusted search path được phát hiện trong Bundler, Poetry, Yarn, Composer, Pip, và Pipenv cho phép kẻ xấu có thể thực thi mã bằng tệp git độc hại hoặc tệp do kẻ tấn công kiểm soát như Gemfile, được dùng để chỉ định các dependencies cho các chương trình Ruby.

Sau khi thông tin lỗ hổng được tiết lộ, các bản vá cho lỗ hổng trong Bundler, Bower, Poetry, Yarn, và Pnpm đã được phát hành. Lỗ hổng untrusted search path trong Composer, Pip và Pipen hiện vẫn chưa được khắc phục.

Người dùng nên kiểm tra và cập nhật lên các phiên bản không bị ảnh hưởng đối với các sản phẩm đã phát hành bản vá hoặc sử dụng một công cụ thay thế khác đối với các sản phẩm chưa được vá.

Nguồn: thehackernews.com.

and


liên từ

cùng, và, với

scrolltop