The GitHub Blog
·
Attacks on Maven proxy repositories
💡
原文约3700字/词,阅读约需14分钟。
📝
内容提要
本文讨论了Java库的供应链攻击,特别是Maven中央仓库的安全漏洞。作者发现了存储型XSS和路径遍历等多个漏洞,可能导致远程代码执行。由于Maven依赖于信任的pom.xml文件,攻击者若替换常用库,将影响所有使用Java的公司。作者建议加强安全措施以防范此类攻击。
🎯
关键要点
- 本文讨论了Java库的供应链攻击,特别是Maven中央仓库的安全漏洞。
- 作者发现了存储型XSS和路径遍历等多个漏洞,可能导致远程代码执行。
- Maven依赖于信任的pom.xml文件,攻击者若替换常用库,将影响所有使用Java的公司。
- Apache Maven是一个流行的Java项目构建工具,允许开发者解析项目依赖。
- Maven的安全模型假设用户信任pom.xml及其代码和依赖。
- Maven中央仓库是公共的,任何人都可以发布工件,但用户的发布权限受到限制。
- 许多公司选择使用内部Maven仓库管理器以获得额外的好处,如发布私有工件和减少带宽消耗。
- Maven仓库管理器在代理模式下处理公共Maven仓库的请求,可能引入安全漏洞。
- 作者发现了存储型XSS漏洞,攻击者可以通过特制的工件影响管理界面。
- 路径遍历漏洞可能导致攻击者覆盖本地文件,甚至执行远程代码。
- 名称混淆攻击可能导致攻击者在目标代理仓库中创建任意名称和扩展的文件。
- 作者建议加强安全措施以防范此类攻击,尤其是在代理模式下的Maven仓库管理器。
- 这些攻击不仅限于Maven,还适用于其他依赖生态系统,如NPM和Docker。
➡️
