JFrog Artifactory 缺陷导致软件供应链易受缓存投毒攻击

最新推荐文章于 2024-08-08 16:35:36 发布
最新推荐文章于 2024-08-08 16:35:36 发布
阅读量6 收藏
点赞数
文章标签: 缓存
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520385&idx=2&sn=af4a594c3080780ffef2c03ee32f72d5&chksm=eb7e5b1d0b7eb4c3c94eed3f8c3b2979ac6422f0d168fb443bcb7098046d64a90379a1d330c3&scene=126&sessionid=0
版权

652bb3b16349b8152425829a6c87e429.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

JFrog 为 Artifactory 平台发布关键安全公告,修复了一个严重漏洞CVE-2024-6915(CVSS 评分9.3)。该漏洞影响JFrog Artifactory 的多个版本,并可导致攻击者投毒工件缓存,可能攻陷从这些仓库中部署的软件的完整性。

2a007c2bc9f417548a5d3c4a0705f7c1.png

7d24b1cc0483b670b7e524ec1b5ac919.gif

缓存投毒:软件供应链面临的隐秘威胁

缓存投毒是一种复杂攻击,即恶意人员操纵软件工件的缓存版本。当开发人员或自动化系统从仓库中提取工件时,他们会毫无察觉地接收到被篡改版本,在软件中引入漏洞或后门,从而造成深远影响、攻陷应用并可能导致数据泄露或系统接管等。

a565f1af70623c52089190b10011d856.gif

受影响版本和修复方案

该漏洞影响大量 JFrog Artifactory 版本,包括用于自托管和云环境中的版本:

65b5ee5e47f2e69f4683c53f91818713.png

自托管 Artifactory 用户应立即应用安全补丁。JFrog 已更新云实例,混合部署的客户即Edge 节点依赖于本地版本则需更新 Edge 实例。

作为针对自托管用户的临时缓解措施,JFrog 建议禁用匿名访问权限或删除 Anonymous 账户远程仓库的部署/缓存权限。JFrog 对GitHub 安全实验室的研究员 Michael Stepankin 发现并负责任地披露该漏洞表示感谢。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

SAP AI Core中严重的 “SAPwned” 缺陷可引发供应链攻击

NuGet供应链攻击中出现60个新恶意包

CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击

WordPress 插件被安后门,用于发动供应链攻击

原文链接

https://securityonline.info/cve-2024-6915-cvss-9-3-jfrog-artifactory-flaw-exposes-software-supply-chains-to-cache-poisoning/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

31081f65789d5064561eb801959c2336.jpeg

b1b6d47293aa0ba6d69c72eb9edf76ec.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   23884edf7b69eca7e1a180a6aeb05c14.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JFrog artifactory安装
weixin_44585071的博客
05-31 339
JFrog artifactory安装
JFrog Artifactory的数据备份与恢复教程
如果我写的内容,对您有所帮助,麻烦点个赞,评论下,谢谢
04-21 1099
Frog Artifactory 是一个可扩展的通用二进制存储库管理器,可在整个应用程序开发和交付过 程中自动管理你的工件和依赖项。一句话概括:Artifactory 是一个存放制品(Artifacts)的工具。 目前,Artifactory 是一个非常有影响力,有着强大功能DevOps工具。
安装和配置JFrog Artifactory pro
yh_zeng2的博客
06-15 223
安装和配置JFrog Artifactory pro
jfrog artifactory】的安装与使用
weixin_44005802的博客
03-02 1264
linux ubuntu在线安装jfrog artifactory 使用教程
安装免费版的jfrog artifactory oss
yh_zeng2的博客
06-19 505
安装免费版的jfrog artifactory oss
JFrog Artifactory 二进制软件制品仓库介绍
热门推荐
tomcat的专栏
08-16 2万+
什么是二进制软件制品仓库 软件制品是指可在服务器上直接运行的二进制形式的文件,通常称之为二进制软件制品。 不同开发语言所产生的制品的获取、使用、共享方式不同,二进制制品仓库能够统一管理所有开发语言类型的二进制制品,同时无缝对接现有的标准化构建和发布工具。 关于 JFrog Artifactory JFrog Artifactory 是目前全球唯一的支持所有开发语言,功能最强大的二...
搭建私有Jfrog artifactory仓库并上传Android Library
大前端程序猿
04-23 9708
前言 最近在负责公司内部的Android IM SDK开发,由于需要提供SDK给其他部门的项目使用,故打算将写好的IM SDK上传到Jfrog artifactory仓库,下面记录Jfrog的安装以及上传Android Library到该仓库的步骤。 安装Jfrog 关于Jfrog是个啥,这里不做过多的记录,可以理解为它是一个类似maven或jcenter的仓库,可以在其中存放各种类型的文件,是一个强大的通用包管理平台,国内可以直接通过这个地址访问:https://www.jfrogchina.com/查看
Jfrog Artifactory 安装
Fisher3652的博客
05-08 1504
目录1. Linux安装2. Docker安装 相关文章 Jfrog Artifactory 安装 Jfrog Artifactory 仓库配置 Jfrog Artifactory 上传和下载jar Jfrog Artifactory 上传和下载jar (gradle篇) 以下均安装社区版;如果是安装企业版,可以注册申请30天使用 1. Linux安装 下载地址https://jfrog.com/community/download-artifactory-oss/ 这里选择rpm安装 点击co
JFrog Artifactory二进制文件管理工具部署使用
u010080562的博客
12-06 1045
JFrog Artifactory二进制文件管理工具部署使用
npmfrog:jFrog Artifactory的类似于npmjs.org的Web界面,具有材料设计
02-03
JFrog Artifactory一个类似于npmjs.org的不错的Web界面 要在不同项目和开发人员之间共享公司或团队中的代码,您可以使用私有的npm注册表,例如或 (在Java环境中通常用于Maven依赖管理)。 后者缺少适合Web开发人员...
artifactory_exporter:用Go编写的JFrog Artifactory Prometheus Exporter
02-04
Artifactory Commercial,Enterprise和OSS版本6.x和7.x 。 认证方式 Artifactory导出器需要admin用户,并且支持多种身份验证方式。 支持以下方法: 基本认证 不记名令牌 基本认证 可以通过设置ARTI_USERNAME和...
nexus2artifactory:NexusToArtifactory - 旨在简化从 Sonatype Nexus 迁移到 JFrog Artifactory 的工具
05-31
该工具旨在简化从 Sonatype Nexus 到 JFrog Artifactory 的过渡。 它提供了一个简单的类似向导的界面,允许您轻松配置和运行从 Nexus 实例到 Artifactory 实例的存储库、工件、用户和设置的迁移。 目前,可以迁移...
Jfrog Artifactory CICD guide
08-12
Jfrog基于二进制的代码仓库管理,是实现CICD的基础。此文档很好的介绍了原理及实现的关键技术,供参考学习
jfrog-artifactory-badge:一个基于http的微型微服务,为给定的私人jfrog工件存储库提供shields.io图像徽章
05-15
jfrog-artifactory-badge 一个基于http的微型微服务,用于为给定的私有jfrog工件存储库提供图像徽章。入门节点8+ 将.env.example文件复制/重命名为.env,然后填写工件设置的详细信息npm安装npm开始示例.env文件您...
vue开启keep-alive缓存时,关于子组件上使用:key=“id“的问题以及解决方案
weixin_45549481的博客
08-02 279
2、致命错误,修改URL的id时,缓存之前有数据,子组件销毁重建,请求接口也有数据,但是因为keep-alive缓存了组件实例而不是组件的数据,表格的数据丢失;2、:key=“timeStap”,结合activated、deactivated —— —— keep-alive缓存activated时,会重新请求。1、切换tag,会触发id的变更,再次切回来时,将会触发表格销毁重建,重新请求数据,局部刷新表格的缓存丢失;特定场景下,必须使用:key="id"时,可以考虑下面的两个方式。
高并发下的分布式缓存 | 设计和实现LRU缓存
大厂小码农的博客
08-04 1107
LRU缓存是一种缓存策略,当缓存满了,需要腾出空间存放新数据时,它会删除最近最少使用的数据。换句话说,它会优先淘汰那些最久没有被访问的元素,以确保缓存中的数据是最近使用的,这对提高缓存系统的命中率有帮助。
缓存优先级的艺术:深度掌握Memcached的优先级策略
2401_85812053的博客
08-08 348
利用这一机制,我们可以为不同优先级的数据设置不同的过期时间:高优先级的数据设置更长的过期时间,而低优先级的数据则设置较短的过期时间。虽然Memcached没有内置的优先级设置功能,但通过上述策略,我们能够以灵活的方式管理缓存数据的生命周期。这要求开发者根据实际的应用场景,选择最合适的方法来优化缓存性能,确保关键数据的可用性,同时提高缓存效率。通过上述方法,我们可以在Memcached中有效地模拟缓存数据的优先级设置,为不同的数据分配合适的资源和生存时间。命令能够刷新缓存项的过期时间,而不重新加载数据。
Python删除lru_cache缓存
最新发布
ithongchou的博客
08-08 19
根据具体的使用场景,可以选择适合的方法来管理和清除缓存。是一个装饰器,用于添加缓存功能以提高函数的性能。如果你想清除或者删除。时,最简单的方法是直接调用。在 Python 中,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值