Repojacking 攻击可能会影响数千个 GitHub 存储库
GitHub 新漏洞影响超过 4000 个仓库
关键要点
超过 4000 个 GitHub 仓库受到新漏洞的影响。漏洞可能导致仓库劫持或 repojacking 攻击。攻击者可以利用此漏洞操控仓库创建和用户名修改之间的潜在竞争条件。检查本月早些时候发布的安全更新以解决此问题。根据 The Hacker News 的报道,超过 4000 个 GitHub 仓库受到一种新漏洞的影响,该漏洞可能被攻击者利用,从而进行 仓库劫持 或称之为 repojacking 攻击。根据 Checkmarx 的报告,攻击者可以利用此漏洞,该漏洞已在本月发布的安全更新中得到修复,利用仓库创建和用户名修改之间的潜在竞争条件,逃避常用的仓库命名空间退休安全机制。
研究人员表示,将“victimuser”命名空间修改为“renameduser”会导致“victimuser/repo”仓库的退休,同时会在攻击者使用“attackeruser”用户名创建一个“repo”仓库的情况下发生,对应的攻击者随后将用户名从“attackeruser”更改为“victimuser”。Checkmarx 的安全研究员 Elad Rapoport 表示:“在 GitHub 的仓库创建和用户名重命名操作中发现这一新漏洞凸显了与 流行仓库命名空间退休 机制相关的持续风险。”
要确保您的仓库安全,建议立即检查 GitHub 提供的安全更新并进行必要的修改,以避免潜在的安全漏洞。
ios加速器轻蜂