GitHub 曝出漏洞,或导致 4000 多个存储库遭受劫持攻击
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
GitHub存在新漏洞,可能导致数千个存储库面临劫持攻击的风险。漏洞利用了存储库命名空间退役的安全机制,攻击者可以绕过该保护措施并最终控制存储库。GitHub已于9月1日解决了该漏洞问题。
🎯
关键要点
- GitHub存在新漏洞,可能导致数千个存储库面临劫持攻击的风险。
- 漏洞利用了存储库命名空间退役的安全机制,攻击者可以绕过该保护措施。
- 该漏洞影响使用Go、PHP和Swift等语言的4000多个代码包及GitHub操作。
- repocapping是存储库劫持的简称,攻击者可以用相同用户名创建新账户并上传恶意存储库。
- Checkmarx提出的新方法利用了创建存储库和重命名用户名之间的潜在竞争条件。
- GitHub已于2023年9月1日解决了该漏洞问题,且在近九个月前修补了类似的绕过漏洞。
➡️
