டோக்கர் கொள்கலன்களை ஸ்கேன் செய்யும் போது பல பாதிப்புகள் கண்டறியப்பட்டன

சமீபத்தில் அறியப்பட்டது மூலம் ஒரு வலைப்பதிவு இடுகை, பாதிப்புகளை அடையாளம் காண சோதனை கருவிகளின் முடிவுகள் இணைப்பு இல்லை மற்றும் பாதுகாப்பு சிக்கல்களை அடையாளம் காணவும் தனிமைப்படுத்தப்பட்ட டோக்கர் கொள்கலன் படங்களில்.

சோதனையில் 4 ஸ்கேனர்களில் 6 என்று தெரியவந்தது அறியப்பட்ட டோக்கர் படங்கள் சிக்கலான பாதிப்புகளைக் கொண்டிருந்தது இது ஸ்கேனரைத் தாக்கி அதன் குறியீட்டை கணினியில் இயக்க அனுமதிக்கிறது, சில சந்தர்ப்பங்களில் (எடுத்துக்காட்டாக ஸ்னிக்கைப் பயன்படுத்தி) ரூட் சலுகைகளுடன்.

தாக்குதலுக்கு, தாக்குபவர் தனது டாக்கர்ஃபைலைச் சரிபார்க்கத் தொடங்க வேண்டும் அல்லது மேனிஃபெஸ்ட்.ஜெசன், இதில் சிறப்பாக வடிவமைக்கப்பட்ட மெட்டாடேட்டா, அல்லது போட்ஃபைல் மற்றும் கிராட்லூ கோப்புகளை படத்தின் உள்ளே வைக்கவும்.

வைட் சோர்ஸ், ஸ்னிக், ஃபோசா மற்றும் நங்கூர அமைப்புகளுக்கான சுரண்டல் முன்மாதிரிகளை நாங்கள் தயாரிக்கிறோம்.

தொகுப்பு க்ளேர், முதலில் பாதுகாப்பை மனதில் கொண்டு எழுதப்பட்டது, சிறந்த பாதுகாப்பைக் காட்டியது.

ட்ரிவி தொகுப்பில் எந்த சிக்கலும் அடையாளம் காணப்படவில்லை இதன் விளைவாக, டோக்கர் கொள்கலன் ஸ்கேனர்கள் தனிமைப்படுத்தப்பட்ட சூழலில் இயக்கப்பட வேண்டும் அல்லது அவற்றின் சொந்த படங்களை சரிபார்க்க மட்டுமே பயன்படுத்தப்பட வேண்டும் என்றும், அத்தகைய கருவிகளை தானியங்கு தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளுடன் இணைக்கும்போது கவனமாக இருக்க வேண்டும் என்றும் முடிவு செய்யப்பட்டது.

FOSSA, Snyk மற்றும் WhiteSource இல், பாதிப்பு தொடர்புடையது அழைப்போடு வெளிப்புற தொகுப்பு நிர்வாகிக்கு சார்புகளை தீர்மானிக்க மற்றும் கிராட்லூ மற்றும் போட்ஃபைல் கோப்புகளில் தொடுதல் மற்றும் கணினி கட்டளைகளைக் குறிப்பிடுவதன் மூலம் உங்கள் குறியீட்டை செயல்படுத்த ஏற்பாடு செய்ய உங்களை அனுமதிக்கும்.

En ஸ்னிக் மற்றும் வைட் சோர்ஸ் ஒரு பாதிப்பைக் கண்டறிந்தன, இது வெளியீட்டு முறை கட்டளைகளுடன் தொடர்புடையது டோக்கர்ஃபைலை பாகுபடுத்திய அமைப்பு (எடுத்துக்காட்டாக, டாக்ஃபைல் வழியாக ஸ்னீக்கில் நீங்கள் ஸ்கேனரால் ஏற்படும் எல்எஸ் (/ பின் / எல்எஸ்) பயன்பாட்டை மாற்றலாம் மற்றும் வைட்ஸர்ஸில் நீங்கள் "எதிரொலி" வடிவத்தில் வாதங்கள் மூலம் குறியீட்டை மாற்றலாம்; தட்டவும் / தட்டவும் / tmp / hacked_whitesource_pip; = 1.0 '«).

ஆங்கூரில், ஸ்கோபியோ பயன்பாட்டைப் பயன்படுத்துவதால் பாதிப்பு ஏற்பட்டது டோக்கர் படங்களுடன் வேலை செய்ய. மேனிஃபெஸ்ட்.ஜெசன் கோப்பில் '»os»: «$ (தொடு ஹேக்_அஞ்சோர்)»' வடிவத்தின் அளவுருக்களைச் சேர்ப்பதற்கு இந்த செயல்பாடு குறைக்கப்பட்டது, அவை சரியான தப்பிக்காமல் ஸ்கோபியோவை அழைக்கும் போது மாற்றப்படும் (எழுத்துக்கள் only; & <நீக்கப்பட்டன > ", ஆனால்" $ () "ஐ உருவாக்குங்கள்.

அதே எழுத்தாளர் பாதிப்பு கண்டறிதலின் செயல்திறன் குறித்து ஒரு ஆய்வை மேற்கொண்டார் இணைக்கப்படவில்லை பாதுகாப்பு ஸ்கேனர்கள் வழியாக டோக்கர் கொள்கலன்கள் மற்றும் தவறான நேர்மறைகளின் நிலை.

ஆசிரியரைத் தவிர இந்த கருவிகள் பல என்று வாதிடுகிறார் சார்புகளை தீர்க்க தொகுப்பு மேலாளர்களை நேரடியாகப் பயன்படுத்தவும். இது அவர்களை பாதுகாக்க குறிப்பாக கடினமாக உள்ளது. சில சார்பு மேலாளர்கள் ஷெல் குறியீட்டைச் சேர்க்க அனுமதிக்கும் உள்ளமைவு கோப்புகளைக் கொண்டுள்ளனர். 

இந்த எளிய வழிகள் எப்படியாவது கையாளப்பட்டாலும், இந்த தொகுப்பு மேலாளர்களை அழைப்பது தவிர்க்க முடியாமல் பணத்தை வெளியேற்றுவதை குறிக்கும். இது, லேசாகச் சொல்வதென்றால், பயன்பாட்டின் பாதுகாப்பை எளிதாக்குவதில்லை.

பாதிப்புகளைக் கொண்ட 73 படங்களின் சோதனை முடிவுகள் அறியப்பட்ட, அத்துடன் படங்களில் வழக்கமான பயன்பாடுகளின் இருப்பைத் தீர்மானிப்பதற்கான செயல்திறனை மதிப்பீடு செய்தல் (என்ஜின்க்ஸ், டோம்காட், ஹாப்ராக்ஸி, குனிகார்ன், ரெடிஸ், ரூபி, முனை), ஆலோசிக்க முடியும் செய்யப்பட்ட வெளியீட்டிற்குள் பின்வரும் இணைப்பில்.