דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security חשפה את MarkdownTime, פגיעות בשירותי Markdown המשפיעה על GitHub, GitLab ושירותים רבים אחרים
Legit Security חשפה את MarkdownTime, פגיעות בשירותי Markdown המשפיעה על GitHub, GitLab ושירותים רבים אחרים
חיים נוי 22/01/23 |  צפיות: 550

Legit Security חשפה את MarkdownTime, פגיעות בשירותי Markdown המשפיעה על GitHub, GitLab ושירותים רבים אחרים

תל אביב, 19 בינואר 2023, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה פגיעות מסוג מניעת שירות (DoS) שקל לנצל בספריות Markdown המשמשות את GitHub, GitLab ואינספור יישומים אחרים המשתמשים בשירות ה-Markdown הפופולרי Commonmarker. עם הפגיעות המכונה MarkdownTime, גרסה פגיעה של השירות Commonmarker מאפשרת לתוקף לפרוס התקפת DoS פשוטה שתשבית אינספור שירותים עסקיים דיגיטליים ברחבי העולם על ידי שיבוש צינורות פיתוח היישומים שלהם. מידע נוסף על הפגיעות וכיצד לצמצם את הסיכונים ניתן למצוא בפוסט הגילוי הטכני כאן.

Markdown מתייחס ליצירת טקסט מעוצב באמצעות עורך טקסט רגיל שנמצא בדרך כלל בכלים ובסביבות פיתוח תוכנה. מגוון רחב של יישומים ופרויקטים מיישמים את ספריות הקוד הפתוח הפופולריות של Markdown, כמו הגרסה הפופולרית המשולבת ביישום של GitHub - GFM (GitHub Flavored Markdown). במקרה זה, חוקרי Legit Security מצאו כי מאוד פשוט להוביל לפעולה שתגרום למיצוי משאבים בלתי מוגבל המוביל להתקפת מניעת שירות שעלולה להפיל את השירות. לאחר שהפנו את תשומת הלב של צוות האבטחה של GitHub לפגיעות הזו, השירות זיהה את הבעיה ופרסם אישור ותיקון רשמיים שניתן למצוא כאן: CVE-2022-39209. יש לציין שגם כלים ושירותים רבים אחרים עשויים להיות רגישים לאותה פגיעות.

"ספריות קוד פתוח נמצאות בכל מקום בפיתוח תוכנה מודרני, אבל כשצצות פגיעויות, יכול להיות מאוד קשה לעקוב אחריהן בגלל עותקים לא מבוקרים של הקוד הפגיע המקורי", אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף של Legit Security. "כאשר ספריה הופכת לפופולרית ונפוצה, פגיעות בתוכה עלולה לאפשר התקפה על אינספור פרויקטים. התקפות אלו יכולות לכלול הפרעה לשירותים עסקיים קריטיים, כמו פגיעה בשרשרת אספקת התוכנה והיכולת לשחרר יישומים עסקיים חדשים".

זה בדיוק מה שצוות המחקר של Legit Security מצא בהקשר של MarkdownTime: עותק של יישום ה-GFM הפגיע נמצא ב-Commonmarker, חבילת Ruby הפופולרית המיישמת תמיכה ב-Markdown, לה יש יותר ממיליון מאגרים תלויים. צוות Legit Security מצא הטמעה במספר שירותי ניהול קוד מקור קריטיים לעסקים, ביניהם GitHub ו-GitLab. באמצעות ניצול זה, תוקף לא מאומת יכול להפיל צינורות ייצור תוכנה שלמים ולגרום נזק משמעותי ליוזמות העסקיות הדיגיטליות של הארגון. שירותים רבים אחרים מעבר לסביבות פיתוח תוכנה בלבד עלולים להיות פגיעים לשיבוש עסקי יקר.

צוות המחקר של Legit Security חשף את סוגיית האבטחה הזו לגוף המתחזק את Commonmarker, כמו גם ל-GitHub וגם ל-GitLab. כולם תיקנו את הבעיות, אך עותקים רבים נוספים של יישום ה-Markdown הזה נפרסו ונמצאים בשימוש.

תיאור מעמיק של MarkdownTime, יחד עם מידע על אופן ההגנה על ארגונים ופרויקטים, ניתן למצוא בבלוג של Legit Security .

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller
OutVox
[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
CGTN: מדוע העולם שואל – מה גורם למפלגה הקומוניסטית הסינית לפעול בהצלחה?
במלאת 105 שנה להקמת המפלגה הקומוניסטית של סין, פרסם CGTN מאמר הבוחן מדוע CPC ממשיכה למשוך תשומת לב בינלאומית גוברת. במאמר נבחן כיצד נתיב הפיתוח של סין, מודל הממשל והחזון הגלובלי שלה מעצבים מחדש את התפיסות הגלובליות לגבי המפלגה הקומוניסטית של סין ומציעים נקודות מבט חדשות על מודרניזציה וממשל עולמי.

מועד אחרון לתביעה ייצוגית נגד PHR
מועד אחרון לתביעה ייצוגית נגד PHR: רוזן, משרד עורכי דין מוערך, קורא למשקיעי חברת Phreesia, Inc. שספגו הפסדים העולים על 100 אלף דולר לקבל ייצוג משפטי לפני המועד האחרון החשוב ב- 13 ביולי במסגרת תביעה ייצוגית בניירות ערך – PHR

התראת מועד אחרון לתביעה ייצוגית נגד FSK
התראת מועד אחרון לתביעה ייצוגית נגד FSK: רוזן, משרד עורכי דין מוערך ברחבי העולם, מעודדים משקיעים ב- FS KKR Capital Corp. עם הפסדים של יותר מ-100 אלף דולר לקבל ייעוץ משפטי לפני המועד האחרון החשוב ב-6 ביולי בתביעה ייצוגית בניירות ערך – FSK

מועד אחרון חשוב לתביעה ייצוגית נגד CHX
מועד אחרון חשוב לתביעה ייצוגית נגד CHX: רוזן, משרד עורכי דין מוביל, מעודד את משקיעי ChampionX Corporation עם הפסדים של יותר מ-100 אלף דולר לקבל ייעוץ משפטי לפני המועד החשוב ב-14 ביולי בתביעה ייצוגית בניירות ערך - CHX

מועד אחרון לתביעה ייצוגית לניירות ערך נגד GPK
מועד אחרון לתביעה ייצוגית לניירות ערך נגד GPK: רוזן, משרד עורכי דין מוביל, מעודד משקיעים בחברת Graphic Packaging Holding עם הפסדים של יותר מ-100 אלף דולר לקבל ייצוג משפטי לפני המועד האחרון החשוב ב-6 ביולי במסגרת תביעה ייצוגית בניירות ערך – GPK

Bitget משיקה מסחר באופציות של מניות אמריקאיות לראשונה אי פעם בתעשייה הקריפטוגרפית
תכונות חדשות של רכישת אופציות לונג קול ולונג פוט מרחיבות את ההובלה של Bitget במתן גישה גלובלית למניות אמריקאיות

התראת מועד אחרון לתביעה ייצוגית נגד SRAD: רוזן, חברה לאומית מובילה, מעודדת משקיעים ב- Sportradar Group AG עם הפסדים של יותר מ-100 אלף דולר לקבל ייעוץ
התראת מועד אחרון לתביעה ייצוגית נגד SRAD: רוזן, חברה לאומית מובילה, מעודדת משקיעים ב- Sportradar Group AG עם הפסדים של יותר מ-100 אלף דולר לקבל ייעוץ משפטי לפני המועד האחרון החשוב ב-17 ביולי בתביעה ייצוגית לניירות ערך - SRAD

קרן סטארלייט לילדים זכתה בפרס הקהילה העולמית הבריטית של F1® Allwyn כדי להפוך את השהות בבית החולים לנעימות יותר לילדים
קרן Starlight לילדים זכתה בתואר הזוכה הבריטית בפרס הקהילה הגלובלית F1® Allwyn במירוץ הגרנד פרי הבריטי פורמולה 1 פירלי 2026. ארגון הצדקה, המסייע לילדים חולים במצב קריטי בבתי חולים לשחק, לצחוק ולעשות את הדברים שהם אוהבים תוך כדי קבלת טיפול, זכה ב-100,000 אירו מ-Allwyn AG, חברת הבידור המובילה תחרויות לוטו רב לאומיות, שחברת הבת בבריטניה שלה מפעילה את הלוטו הלאומי. הפרס יסייע ל-Starlight לקדם את גישתה החדשנית לטיפול בילדים.

VeriSilicon מציגה את CPP2000 - קניין רוחני לשלב שאחרי עיבוד התמונה במצלמות עבור יישומי רובוטיקה משובצת וראייה ניידת
שיפור איכות התמונה והתפיסה החזותית עבור מערכות עם מצלמה ניידת

U.S. Polo Assn. חוגג 250 שנה של רוח אמריקאית ומשתף פעולה עם ESPN בשידור מיוחד של "פולו באמריקה".
מותג הספורט העולמי מציין את הקשר המתמשך בין ספורט לתרבות אמריקאית
     
 
שיווק באינטרנט על ידי WSI