Akimirką buvo manoma, kad „inkscape“ failai buvo pažeisti
Prieš kelias dienas tai pasklido žinia NixOS platinimo kūrėjai suprato pėdsakų kenkėjiška veikla pagrindiniame kompiuteryje naudojamas atsisiųsti nemokamą vektorinės grafikos rengyklę, „Inkscape“, „media.inkscape.org“.
Apie naujienas jie tai mini nedidelės analizės metu „Inkscape“ atsisiuntimo priegloboje, aptikta kataloge „/dl/resources/file/“, iš kur organizuojamas oficialių „Inkscape“ versijų atsisiuntimas, arban rodyklės failą su internetinio kazino registracijos forma kuris siunčia duomenis į WhatsApp numerį.
Kalbama apie failą "index.html" aš manau „NixOS“ kūrėjams, kad priegloba, kurioje pateikiami „inkscape“ failai buvo pažeistas ir ypač tai, kad potencialiai atakos metu failai, pateikti atsisiųsti iš „inkscape“, galėjo būti pažeisti.
Apsilankius URL rodomas kažkoks html puslapis, kuriame yra su „Inkscape“ nesusijusio šlamšto (ištrauka žemiau):
DAFTAR 1 AKUN UNTUK SEMUA JENIS ŽAIDIMO LOŠAS INTERNETU
Atsižvelgiant į tai, „NixOS“ kūrėjai, susisiekė ir informavo „Inkscape“ kūrėjus šiuo klausimu, į kurį iš pradžių jie nepateikė jokio atsakymo šiuo atveju, o tai paskatino vartotojus galvoti apie blogiausią.
Netrukus „Inkscape“ projekto atstovai išėjo išsiaiškinti situacijos ir nuraminti bendruomenę, nes jie apie tai pranešė index.html failą „probleminis“ yra failas, kuris buvo „sėlinantis“, nes yra iš praeities incidento.
Atsiprašome dėl index.html failo, kuris seniai buvo patalpintas mūsų serveryje, ir nors resursų duomenų bazės įrašas buvo seniai ištrintas, failas liko failų sistemoje, o greitoji talpykla ir toliau jį dubliavo.
Ištryniau html failą, iš naujo nustatiau sparčiąją talpyklą (ir / ir index.html) ir patikrinau visų failų, žiniatinklio serverio ir įvairių įsibrovimo galimybių vientisumą, kurie visi yra neigiami. Šis failas buvo įkeltas per galerijos įkėlimus svetainėje, ką gali padaryti bet kas. Indekso failas dabar trukdo, kad tai nepasikartotų.
Jei norite patikrinti šaltinio tarbalą, visada rekomenduoju patikrinti gpg parašą, įkeltą į versionsapp čia Inkscape 1.3 - Šaltinis: failas: xz tarball | „Inkscape“ ir patikrinkite jį naudodami „gitlab sha“, kurį jau sukūrėte, ar nėra papildomų paranojos taškų.
Atsiprašome už problemą.
Jo paaiškinime teigiama, kad failas kaip toks, failas, kuris pasirodė projekto serveryje seniai, kadangi „bet kuriam vartotojui“ buvo leista įkelti turinį, vartotojas pasinaudojo šia klaida, kad įdėtų indekso failą „Inkscape“ priegloboje.
Kai viskas pasikeitė, jie paaiškina, kad teorija, kad šis failas buvo seniai pašalintas iš išteklių duomenų bazės, tačiau dėl aplaidumo jis liko failų sistemoje ir toliau atsispindėjo Fastly talpyklos sistemoje. Be to, kūrėjai pranešė, kad tam, kad bendruomenė būtų rami, buvo atlikta visų failų patikra ir patvirtinta, kad duomenų vientisumas nebuvo pažeistas.
Verta paminėti, kad taip pat buvo paskelbta apie leidimų valdymo modelio peržiūrą, nes galimybė per galeriją įkelti savavališkus failus į atsisiuntimo serverį gali būti laikoma pažeidžiamumu. Be kita ko, pašalinis asmuo gali įkelti savo tar.gz failą su kenkėjiškais pakeitimais į media.inkscape.org serverį ir pateikti jį kaip versiją.
Norėdami patikrinti atsisiųstų failų vientisumą, kūrėjai rekomenduoja naudoti atsisiuntimo nuorodas iš oficialios svetainės, palyginti kontrolinę sumą su „GitLab“ duomenimis ir patikrinti projekto GPG raktu sukurtą skaitmeninį parašą.
Pagaliau jei norite sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.