דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security חשפה את MarkdownTime, פגיעות בשירותי Markdown המשפיעה על GitHub, GitLab ושירותים רבים אחרים
Legit Security חשפה את MarkdownTime, פגיעות בשירותי Markdown המשפיעה על GitHub, GitLab ושירותים רבים אחרים
חיים נוי 22/01/23 |  צפיות: 295

Legit Security חשפה את MarkdownTime, פגיעות בשירותי Markdown המשפיעה על GitHub, GitLab ושירותים רבים אחרים

תל אביב, 19 בינואר 2023, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה פגיעות מסוג מניעת שירות (DoS) שקל לנצל בספריות Markdown המשמשות את GitHub, GitLab ואינספור יישומים אחרים המשתמשים בשירות ה-Markdown הפופולרי Commonmarker. עם הפגיעות המכונה MarkdownTime, גרסה פגיעה של השירות Commonmarker מאפשרת לתוקף לפרוס התקפת DoS פשוטה שתשבית אינספור שירותים עסקיים דיגיטליים ברחבי העולם על ידי שיבוש צינורות פיתוח היישומים שלהם. מידע נוסף על הפגיעות וכיצד לצמצם את הסיכונים ניתן למצוא בפוסט הגילוי הטכני כאן.

Markdown מתייחס ליצירת טקסט מעוצב באמצעות עורך טקסט רגיל שנמצא בדרך כלל בכלים ובסביבות פיתוח תוכנה. מגוון רחב של יישומים ופרויקטים מיישמים את ספריות הקוד הפתוח הפופולריות של Markdown, כמו הגרסה הפופולרית המשולבת ביישום של GitHub - GFM (GitHub Flavored Markdown). במקרה זה, חוקרי Legit Security מצאו כי מאוד פשוט להוביל לפעולה שתגרום למיצוי משאבים בלתי מוגבל המוביל להתקפת מניעת שירות שעלולה להפיל את השירות. לאחר שהפנו את תשומת הלב של צוות האבטחה של GitHub לפגיעות הזו, השירות זיהה את הבעיה ופרסם אישור ותיקון רשמיים שניתן למצוא כאן: CVE-2022-39209. יש לציין שגם כלים ושירותים רבים אחרים עשויים להיות רגישים לאותה פגיעות.

"ספריות קוד פתוח נמצאות בכל מקום בפיתוח תוכנה מודרני, אבל כשצצות פגיעויות, יכול להיות מאוד קשה לעקוב אחריהן בגלל עותקים לא מבוקרים של הקוד הפגיע המקורי", אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף של Legit Security. "כאשר ספריה הופכת לפופולרית ונפוצה, פגיעות בתוכה עלולה לאפשר התקפה על אינספור פרויקטים. התקפות אלו יכולות לכלול הפרעה לשירותים עסקיים קריטיים, כמו פגיעה בשרשרת אספקת התוכנה והיכולת לשחרר יישומים עסקיים חדשים".

זה בדיוק מה שצוות המחקר של Legit Security מצא בהקשר של MarkdownTime: עותק של יישום ה-GFM הפגיע נמצא ב-Commonmarker, חבילת Ruby הפופולרית המיישמת תמיכה ב-Markdown, לה יש יותר ממיליון מאגרים תלויים. צוות Legit Security מצא הטמעה במספר שירותי ניהול קוד מקור קריטיים לעסקים, ביניהם GitHub ו-GitLab. באמצעות ניצול זה, תוקף לא מאומת יכול להפיל צינורות ייצור תוכנה שלמים ולגרום נזק משמעותי ליוזמות העסקיות הדיגיטליות של הארגון. שירותים רבים אחרים מעבר לסביבות פיתוח תוכנה בלבד עלולים להיות פגיעים לשיבוש עסקי יקר.

צוות המחקר של Legit Security חשף את סוגיית האבטחה הזו לגוף המתחזק את Commonmarker, כמו גם ל-GitHub וגם ל-GitLab. כולם תיקנו את הבעיות, אך עותקים רבים נוספים של יישום ה-Markdown הזה נפרסו ונמצאים בשימוש.

תיאור מעמיק של MarkdownTime, יחד עם מידע על אופן ההגנה על ארגונים ופרויקטים, ניתן למצוא בבלוג של Legit Security .

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller
OutVox
[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
CGTN: הנשיא שי ג'ינפינג קורא לסין ולאיחוד האירופי לספק יותר יציבות וודאות לעולם
נשיא סין שי ג'ינפינג נפגש עם מנהיגי האיחוד האירופי במהלך ביקורם בבייג'ינג לפסגה ה-25 בין סין לאיחוד האירופי ביום חמישי. CGTN פרסמה מאמר הבוחן את יחסי סין-האיחוד האירופי בסחר והשקעות דו-כיווניים, והדגיש את הצורך של שני הצדדים לאמץ רב-צדדיות, פתיחות ושיתוף פעולה כדי להביא יציבות וודאות רבה יותר לעולם.

רוזן, משרד עורכי דין מדורג ומוביל, מעודד את משקיעי Fiserv, Inc להשיג ייעוץ לפני מועד חשוב בתביעה ייצוגית בניירות ערך - FI
משרד רוזן עורכי דין (Rosen Law Firm), משרד עורכי דין בינלאומי העוסק בזכויות משקיעים, מודיע על הגשת תביעה ייצוגית בשם רוכשי מניות רגילות של Fiserv, Inc (NYSE: FI) בין התאריכים 24 ביולי 2024 עד 22 ביולי 2025, שני התאריכים כוללים ("תקופת הייצוגית"). כבר הוגשה תביעה ייצוגית. אם ברצונכם לשמש כתובע המרכזי, עליכם לעתור לבית המשפט עד ולא יאוחר מתאריך 22 בספטמבר 2025.

רוזן, משרד עורכי דין מוביל לזכויות משקיעים, מעודד את משקיעי Sarepta Therapeutics, Inc להשיג ייעוץ
רוזן, משרד עורכי דין מוביל לזכויות משקיעים, מעודד את משקיעי Sarepta Therapeutics, Inc להשיג ייעוץ לפני המועד האחרון החשוב בתביעה ייצוגית בניירות ערך - SRPT

מועד אחרון לתביעה נגד VSTS: רוזן, משרד עורכי דין מהימן ומוביל, מעודד את משקיעי Vestis Corporation עם הפסדים של יותר מ-100 אלף דולר להבטיח ייעוץ
מועד אחרון לתביעה נגד VSTS: רוזן, משרד עורכי דין מהימן ומוביל, מעודד את משקיעי Vestis Corporation עם הפסדים של יותר מ-100 אלף דולר להבטיח ייעוץ לפני המועד האחרון החשוב בתביעה ייצוגית בניירות ערך - VSTS

רוזן, משרד עורכי דין מדורג ומוביל, מעודד את משקיעי Alto Neuroscience, Inc להשיג ייעוץ
רוזן, משרד עורכי דין מדורג ומוביל, מעודד את משקיעי Alto Neuroscience, Inc להשיג ייעוץ לפני מועד חשוב בתביעה ייצוגית בניירות ערך - ANRO

רוזן, משרד עורכי דין אמין ומוביל, מעודד את משקיעי Biohaven Ltd להשיג ייעוץ לפני מועד חשוב בתביעה ייצוגית בניירות ערך – BHVN
משרד רוזן עורכי דין (Rosen Law Firm), משרד עורכי דין בינלאומי העוסק בזכויות משקיעים, מזכיר לרוכשים את ניירות הערך של Biohaven Ltd. (NYSE: BHVN) בין התאריכים 24 במרץ 2023 עד 14 במאי 2025, שני התאריכים כוללים ("התקופה הייצוגית"), את המועד האחרון החשוב של 12 בספטמבר 2025 להגשת תביעה ייצוגית בניירות ערך.

GetAgent, עוזרת המסחר המבוססת בינה מלאכותית של של Bitget, זוכה לאימוץ מרשים ומציתה טירוף קהילתי
Bitget, בורסת המטבעות הקריפטוגרפים המובילה וחברת Web3, חוותה ביקוש עוצמתי לאחר השקת GetAgent, עוזרת המסחר מבוססת הבינה המלאכותית הראשונה בעולם הפועלת בשוק הקריפטוגרפי.

Multiply Group משלימה את רכישת Tendam ומכפילה את ה-EBITDA התפעולי תוך הרחבת טביעת הרגל הגלובלית שלה
* Tendam היא קבוצת ההלבשה השניה בגודלה בספרד לפי נתח שוק ואחת מקבוצות ההלבשה המובילות באירופה עם ערוצים שונים. * Tendam מחזיקה ב-12 מותגי אופנה הנמצאים בבעלותה ומציעה גיוון וחשיפה בינלאומית, תוך העמקת נוכחותה של הקבוצה בענפים ממוקדי צרכנים.

Bitget KCGI 2025 מתחמם כאשר קרב הצוותים יוצא לדרך: קהילות מתאחדות, יריבויות ניצתות
Bitget, בורסת המטבעות הקריפטוגרפים המובילה וחברת Web3, הוציאה לדרך את השלב הבא של King’s Cup Global Invitational (KCGI) לשנת 2025, עם תחילתו הרשמית של קרב הצוותים.

ExaGrid מגיעה לרבעון ה-18 ברציפות של תזרים מזומנים חופשי, EBITDA, ופעילות חיובית של רווח והפסד
ExaGrid, הספקית של הפתרון היחיד בענף לאחסון גיבוי בשכבות עם נעילת זמן הכוללת שכבה שאינה חשופה לרשת (תוך יצירת מרווח אוויר), מחיקה מושהה ועמידות בפני שינויים לצורך התאוששות ממתקפות כופר, הודיעה היום כי היא ממשיכה לצמוח ולהניע תזרים מזומנים חופשי (FCF) ו-EBITDA.
     
 
שיווק באינטרנט על ידי WSI