OpenForum RSS: Утечка токена для полного доступа к GitHub-репозиториям проекта Python https://www.opennet.ru/openforum/vsluhforumID3/134265.html Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61531<br> Утечка токена для полного доступа к GitHub-репозиториям прое... (Бывалый Смузихлёб) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#134 Tue, 16 Jul 2024 16:14:10 GMT &gt; вишенкой на торте - КТО это все организовал <br><br>ви таки имеете что-то против гомо-нигг после прочтения КоК'а !?<br> Утечка токена для полного доступа к GitHub-репозиториям прое... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#133 Tue, 16 Jul 2024 05:23:02 GMT &gt; Вопрос не "что", а "зачем". Зачем что-то "оставшееся" копируется куда-то, ещё и автоматически.<br><br>потому что COPY allthishit.tar /<br>а в нем целиком хомяк или вообще вся виртуалочка разработчика-директора, потому что таков путь.<br><br>Причем если после этого в том же докерфайле зачем-то еще запустить скопированное - оно кэш перегенерит, но в нижнем слое оригинал-то останется на память.<br><br>&gt; Или так и было задумано: массы нажимают левой пяткой кнопочку, кеш копируется. <br><br>ну дыркер примерно так и работает, но оно в staging копируется, насколько я понимаю - без явного ADD или COPY его содержимое в образ не попадет ни при каких условиях.<br><br> Утечка токена для полного доступа к GitHub-репозиториям прое... (n00by) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#132 Tue, 16 Jul 2024 02:51:02 GMT &gt;&gt; Если ему не надо исполняться, зачем он тогда вообще нужен?<br>&gt; это кэш, блжд. Оставшийся от предыдущего запуска.<br><br>Вопрос не "что", а "зачем". Зачем что-то "оставшееся" копируется куда-то, ещё и автоматически.<br><br>&gt;&gt; - А давайте поищем в самом неожиданном месте!<br>&gt; место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token <br>&gt; и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом <br>&gt; типа файла и случайно залез в бинарники (или не налажал и <br>&gt; не случайно, а просто имел время и вдохновение - машина железная, <br>&gt; пусть греп потрудится). А оно там возьми и найдись!<br><br>Или так и было задумано: массы нажимают левой пяткой кнопочку, кеш копируется. :) А лажали те, кто оптимизировал поиск, исключая неподходящие типы.<br><br>&gt;&gt; Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но <br>&gt;&gt; бесполезный для них фейл.<br>&gt; атака на supply chain чуть ли не всей цивилизации пакости - и <br>&gt; вдруг - бесполезная?<br><br>По сравнению с остальными, про кото Утечка токена для полного доступа к GitHub-репозиториям прое... (aname) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#131 Mon, 15 Jul 2024 18:08:11 GMT &gt;&gt;&gt; лучше сразу в докерфайл <br>&gt;&gt; В каком- то смысле, тебя услышали <br>&gt; да, но можно же было сделать - КРОСИВО!<br>&gt; (и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца) <br><br>Может скоро и такое узреем<br> Утечка токена для полного доступа к GitHub-репозиториям прое... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#129 Mon, 15 Jul 2024 17:51:51 GMT &gt;&gt;На сей раз пронесло.<br>&gt; С чего ты решил, что пронесло?<br><br>да, я вот тоже хорошо информированный оптимист.<br><br>&gt; в этом признается, может они сейчас чтобы не наводить панику по <br>&gt; тихому делают аудит?! Если все же пронесло - промолчат, а если <br><br>Как будто они - умеют?!<br><br>Тебя б так пронесло, подумал Мюллер.<br><br><br> Утечка токена для полного доступа к GitHub-репозиториям прое... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#128 Mon, 15 Jul 2024 17:50:16 GMT &gt;&gt; Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа <br>&gt; а жаль. типичный современный айти. разработчики, которые не знают, как на низком <br><br>дык. они и провели аудит активностей. ничего не аудитится, потому что аудитлог стерт. Все хорошо и просто прекрасно.<br><br>&gt; уровне работает их язык, дыркер... вот нашелся бы какой хакер на <br>&gt; них.<br><br>главное чтоб нашедшиеся не передрались<br><br><br> Утечка токена для полного доступа к GitHub-репозиториям прое... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#127 Mon, 15 Jul 2024 17:49:02 GMT &gt; Чукча не читатель? Там токен от всего прода <br><br>только у дура4ков которые логают нефильтрованный юзеринпут. <br><br><br> Утечка токена для полного доступа к GitHub-репозиториям прое... (нах.) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#126 Mon, 15 Jul 2024 17:47:14 GMT &gt;&gt; лучше сразу в докерфайл <br>&gt; В каком- то смысле, тебя услышали <br><br>да, но можно же было сделать - КРОСИВО!<br>(и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)<br> Утечка токена для полного доступа к GitHub-репозиториям прое... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/134265.html#125 Mon, 15 Jul 2024 14:22:39 GMT Чукча не читатель? Там токен от всего прода<br>