Trong một lúc người ta tưởng rằng các tập tin inkscape đã bị xâm phạm
Mấy hôm trước có tin này các nhà phát triển bản phân phối NixOS đã nhận ra dấu vết của hoạt động độc hại trên máy chủ được sử dụng để tải xuống trình soạn thảo đồ họa vector miễn phí, Inkscape, “media.inkscape.org”.
Về tin tức họ đề cập đến trong một cuộc phân tích nhỏ trên máy chủ tải xuống inkscape, được phát hiện bên trong thư mục "/dl/resources/file/", từ nơi tổ chức tải xuống các phiên bản chính thức của Inkscape hoặcn tệp chỉ mục có mẫu đăng ký sòng bạc trực tuyến gửi dữ liệu đến số WhatsApp.
Đang đề cập đến tệp "index.html" tôi nghĩ gửi tới các nhà phát triển NixOS, máy chủ nơi cung cấp các tệp inkscape đã bị xâm phạm và đặc biệt là có khả năng, trong cuộc tấn công, các tệp được cung cấp để tải xuống từ inkscape có thể đã bị xâm phạm.
Truy cập URL sẽ hiển thị một số loại trang html chứa thư rác không liên quan đến Inkscape (đoạn trích bên dưới):
DAFTAR 1 AKUN UNTUK SEMUA JENIS TRÒ CHƠI TRÒ CHƠI TRỰC TUYẾN
Với điều này, Các nhà phát triển NixOS, đã liên hệ và thông báo cho các nhà phát triển Inkscape về vấn đề này, ban đầu họ không đưa ra bất kỳ phản hồi nào về vụ việc, điều này khiến người dùng nghĩ đến điều tồi tệ nhất.
Chẳng mấy chốc Đại diện dự án Inkscape ra mặt làm rõ sự việc và để trấn an cộng đồng, vì họ đã báo cáo rằng tập tin index.html "có vấn đề" là một tập tin đã bị "lẻn vào" vì nó xuất hiện từ một sự cố trong quá khứ.
Xin lỗi về tệp index.html, tệp này đã được đặt trên máy chủ của chúng tôi từ lâu và mặc dù mục nhập cơ sở dữ liệu tài nguyên đã bị xóa từ lâu nhưng tệp vẫn còn trên hệ thống tệp và bộ đệm nhanh vẫn tiếp tục sao chép nó.
Tôi đã xóa tệp html, đặt lại bộ nhớ đệm nhanh (cho cả / và index.html) đồng thời chạy kiểm tra tính toàn vẹn trên tất cả các tệp, máy chủ web và nhiều khả năng xâm nhập khác nhau, tất cả đều âm tính. Tệp này được tải lên thông qua thư viện tải lên trên trang web, điều mà ai cũng có thể làm được. Giờ đây, một tệp chỉ mục sẽ cản trở việc này xảy ra lần nữa.
Nếu bạn muốn xác minh tarball nguồn, tôi luôn khuyên bạn nên kiểm tra chữ ký gpg được tải trong ứng dụng phiên bản tại đây Inkscape 1.3 - Nguồn: Tệp: xz tarball | Inkscape và kiểm tra nó bằng gitlab sha mà bạn đã tạo để biết thêm điểm hoang tưởng.
Xin lỗi vì vấn đề này.
Trong lời giải thích của ông có thông báo rằng tập tin như vậy, một file đã xuất hiện trên máy chủ dự án từ rất lâu rồi, do "bất kỳ người dùng nào" cũng được phép tải lên nội dung nên chính người dùng đã lợi dụng lỗ hổng này để đặt file chỉ mục lên máy chủ Inkscape.
Khi mọi thứ thay đổi, họ giải thích rằng về mặt lý thuyết, tệp này đã bị xóa khỏi cơ sở dữ liệu tài nguyên từ lâu, nhưng do sơ suất nên nó vẫn còn trong hệ thống tệp và tiếp tục được phản ánh bởi hệ thống bộ nhớ đệm của Fastly. Ngoài ra, các nhà phát triển còn báo cáo rằng để cộng đồng có thể bình tĩnh, việc xác minh tất cả các tệp đã được thực hiện và họ xác nhận rằng tính toàn vẹn của dữ liệu không bị vi phạm.
Điều đáng nói là bản sửa đổi của mô hình quản lý phát hành cũng đã được công bố, vì khả năng tải các tệp tùy ý lên máy chủ tải xuống thông qua thư viện có thể được coi là một lỗ hổng. Trong số những thứ khác, người ngoài có thể tải tệp tar.gz của riêng họ với những thay đổi độc hại lên máy chủ media.inkscape.org và gửi nó dưới dạng phiên bản.
Để xác minh tính toàn vẹn của các tệp đã tải xuống, các nhà phát triển khuyên bạn nên sử dụng liên kết tải xuống từ trang web chính thức, so sánh tổng kiểm tra với dữ liệu GitLab và xác minh chữ ký số được tạo bởi khóa GPG của dự án.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết theo dõi.