FBI发出一个会窃取美政府机构及私人企业源代码的安全警告
|
会见: 天猫双11第一波11月1日破晓开启 1400万款商品开启打折模式 京东双十一领券进口:三大主场每满300减40 京享红包最高1111元 该警报出格告诫SonarQube的全部者。SonarQube是一个基于web的应用,各家公司将其集成到本身的软件构建链中以便在将代码和应用推出到出产情形之前测试源代码并发明安详缺陷。 SonarQube应用被安装在web处事器上并毗连到源代码托管体系如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。 但FBI暗示,一些公司没有掩护这些体系,它们行使的是默认的打点凭据(admin/admin)并在默认设置(端口9000)上运行。 FBI官员称,威胁者滥用这些错误设置来会见SonarQube详细方针并将其转移到毗连的源代码库,然后会见和窃取私有/敏感的应用。 FBI的告诫触及了一个软件开拓职员和安详研究职员很少知道的题目。 收集安详行业常常就MongoDB或Elasticsearch数据库在没有暗码的环境下袒露在网上的伤害发出告诫,但SonarQube却没有受到影响。然而一些安详研究职员早在2018年5月就已经就让SonarQube应用在网上袒露默认证书的伤害发出过告诫。 其时,数据泄漏猎人Bob Diachenko告诫称,谁人时辰在线可用的约3000个SonarQube实例中有30%到40%没有启用暗码或身份验证机制。
本年,瑞士安详研究员Till Kottmann也提出了SonarQube实例设置不妥的同样题目。据悉,Kottmann在一年的时刻中通过一个民众派别网站网络了 为了防备这样的泄漏,FBI的告诫列出了公司可以采纳的一系列掩护法子,起首是改变应用的默认设置和凭据,然后行使防火墙来防备未经授权的用户对应用举办未经授权的会见。 本文素材来自互联网 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
