JFrog Artifactory 缺陷导致软件供应链易受缓存投毒攻击
2024-8-8 14:7:31 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

JFrog 为 Artifactory 平台发布关键安全公告,修复了一个严重漏洞CVE-2024-6915(CVSS 评分9.3)。该漏洞影响JFrog Artifactory 的多个版本,并可导致攻击者投毒工件缓存,可能攻陷从这些仓库中部署的软件的完整性。
缓存投毒:软件供应链面临的隐秘威胁

缓存投毒是一种复杂攻击,即恶意人员操纵软件工件的缓存版本。当开发人员或自动化系统从仓库中提取工件时,他们会毫无察觉地接收到被篡改版本,在软件中引入漏洞或后门,从而造成深远影响、攻陷应用并可能导致数据泄露或系统接管等。

受影响版本和修复方案

该漏洞影响大量 JFrog Artifactory 版本,包括用于自托管和云环境中的版本:

自托管 Artifactory 用户应立即应用安全补丁。JFrog 已更新云实例,混合部署的客户即Edge 节点依赖于本地版本则需更新 Edge 实例。

作为针对自托管用户的临时缓解措施,JFrog 建议禁用匿名访问权限或删除 Anonymous 账户远程仓库的部署/缓存权限。JFrog 对GitHub 安全实验室的研究员 Michael Stepankin 发现并负责任地披露该漏洞表示感谢。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

SAP AI Core中严重的 “SAPwned” 缺陷可引发供应链攻击

NuGet供应链攻击中出现60个新恶意包

CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击

WordPress 插件被安后门,用于发动供应链攻击

原文链接

https://securityonline.info/cve-2024-6915-cvss-9-3-jfrog-artifactory-flaw-exposes-software-supply-chains-to-cache-poisoning/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520385&idx=2&sn=af4a594c3080780ffef2c03ee32f72d5&chksm=ea94a1ebdde328fdfc828f63fc0ecbd0128261440aeba197b83f1d8e451ce4507c42bfa4878a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh