Зависимость от киберпреступности
Дата: 26.11.2007Источник: www.crime-research.ru
Компания Fortify Software обнаружила новый тип атаки - внедрение во время разработки (Cross-Build Injection), при которой уязвимость в продукте появляется во время сборки программного обеспечения с открытым кодом. Впрочем, аналогичные проблемы могут возникнуть и в коммерческих продуктах, когда для их создания используются системы распределенной сборки, такие как Ant, Maven или Ivy. Они позволяют хакеру с помощью изменения DNS или внедрения в один из серверов сборки указать в качестве одной из необходимых библиотек свой вредоносный код.Когда программа сборки будет компилировать такое приложение она, в соответствии с указанными зависимостями, подсоединит и вредоносную библиотеку. В результате, приложение будет содержать вредоносный компонент изначально. Возможно, этой же атаке подвержены и другие системы распределенной разработки приложений. Специалисты Fortify Software обнаружили эту проблему, когда работали над проектом Java Open Review (JOR), в котором изучали безопасности технологии Java.
| Добавить комментарий |
| Всего 0 комментариев |
