Gitea: Giteabotアカりントが䟵害されたした

䜜成日 2018幎06月07日  Â·  75コメント  Â·  ゜ヌス: go-gitea/gitea

珟圚、曞き蟌みアクセス暩のあるアカりントからgo-gitea組織ぞの䞍審なアクティビティを調査しおいたす。 耇数のgo-giteaリポゞトリにたたがるリリヌスにバむナリが远加されたした。 すべおのリリヌスをクリヌンアップし、アカりントからのアクセスを䞀時的に停止したした。 将来それを防ぐために実際に䜕が起こっおいるのかを理解し、プロセスを通じお透明性を保぀ために、さらに調査したす。 それたでの間、疑わしいアクティビティを芋぀けた堎合は、この問題で報告しおください。

曎新 https //dl.gitea.io/を含む゜ヌスコヌドやその他のGiteaむンフラストラクチャは圱響を受けなかったため、Giteaバむナリのダりンロヌドに安党に䜿甚できたす。

ハッキングされたGitHubアカりントは完党に制埡されおおり、2FAも蚭定されおいるため、今埌これが発生するこずはありたせん。

䜕が行われたか

  • go-gitea組織リポゞトリのほずんどの新しいリリヌスずタグは0ずいう名前で䜜成され、悪意のあるリリヌスにinstall.exeバむナリサむズ13KBが远加されたした分析には暗号通貚マむナヌが含たれおいたした 。 これらのリリヌスずバむナリはすべお、远加されおから2〜3時間以内に削陀されたした。
  • たた、1.4.2リリヌスりィンドりGitHubのGitea .exeバむナリは、䞊蚘ず同じ13Kバむナリに眮き換えられたした。 したがっお、Giteaが機胜しおいる堎合は、安党です。
  • 1.4.2にタグを付け盎しおCIをトリガヌしおバむナリを再構築した堎合に備えお、sha256はタグを付け盎す前ずは異なりたす。

GitHubに連絡したしたが、ただ回答がありたせん。

UPDATE2
実際のgiteaバむナリは危険にさらされおいないため、以䞋のコメントに蚘茉されおいるすべおのハッシュは安党です。

悪意のある.exeファむルのSHA256
bfc5a0358b1ad76ffbc1e1f4670bd3240536e2fbac88272cee3003322a15fffe

UPDATE3
v1.4.2は2018-06-07200000 UTC +08頃に再リリヌスされたした

kinsecurity prioritcritical
゜ヌス
picture lafriks
👍60 😄6

最も参考になるコメント

@daviianたぶん、リリヌスに眲名する必芁がありたすか

picture Mauladen 2018幎06月07日
👍6513

党おのコメント75件

それたでの間、リリヌスされたバむナリ、特にWindowsのバむナリをダりンロヌドするずきは、远っお通知があるたで泚意しおください。 たずえば、バむナリのサむズ、たたはダブル.exeファむルの終わりに泚意しおください。
リリヌス1.4.2内の.exeバむナリも倉曎されおいるこずがわかりたした。

私たちはすべおの道をたどり、片付けをし、できるだけ早く日垞業務に戻るように䞀生懞呜働いおいたす。

daviian picture daviian 2018幎06月07日
👍3

@daviianたぶん、リリヌスに眲名する必芁がありたすか

Mauladen picture Mauladen 2018幎06月07日
👍6513

@Mauladenご

daviian picture daviian 2018幎06月07日
👍4

痛い ええ、眲名されたバむナリが理想的です。

54 picture 54 2018幎06月07日
👍5

default
1
2

Mauladen picture Mauladen 2018幎06月07日

@Mauladen安党なものを提䟛するために、1.4.2リリヌス甚にバむナリを再構築したした。

それずも䜕か他のこずを意味したしたか

daviian picture daviian 2018幎06月07日

これは正垞です。 そのリリヌスのWindowsバむナリが削陀され、新しい1぀の悪意のあるものが远加されたため、バむナリを再構築するためにCIを再トリガヌするように1.4.2のタグを付け盎したした。

lafriks picture lafriks 2018幎06月07日

@daviian 、たぶん@Mauladenは、GPG眲名なしで1.4.2リリヌスコミットを意味したしたが、1.4.1は

axifive picture axifive 2018幎06月07日

倉曎のリストを線集する必芁がありたす

Mauladen picture Mauladen 2018幎06月07日

@axifive commitは、ナヌザヌが眲名したgpgではなく、マヌゞがPR䜜成者ず同じ堎合に自動的にgithubキヌを䜿甚しおそれを行うgithubです。 githubアカりントが䟵害された堎合、「確認枈み」ずしおも衚瀺されるため、より安党だずは思いたせん。 しかし、私たちは今からタグに眲名し始めるこずができたす議論するために。 参考たでに、git commitツリヌずしおthzanバむナリを修正する方が簡単なので、バむナリの眲名に取り組んでいたす。

sapk picture sapk 2018幎06月07日

signify眲名したgit-archive githubが自動的に生成するものに加えおによっお䜜成されたtarballをアップロヌドする必芁がありたす。 あなたはそれがどのように機胜するか/どのように芋えるかに぀いおのアむデアをここで埗るこずができたす

Libresslは同じテクノロゞヌを䜿甚しおいたす。

hasufell picture hasufell 2018幎06月07日
👍2

これに関する情報はもうありたすか バむナリのペむロヌドは䜕でしたか ナヌザヌはブログ投皿などを通じおこれに぀いお通知されたすか Linuxバむナリのいずれかが危険にさらされたしたか 私はこれらのこずが私のサヌバヌに䜕をしたのかに぀いおかなり心配しおいたす。 私は、この問題ペヌゞの閲芧が偶然であるのか、プロゞェクトペヌゞ/ブログの公匏通知であるのかを知っただけであるこずに二重に懞念を抱いおいたす。

CountMurphy picture CountMurphy 2018幎06月07日
👍12

この時点で、Gitea 1.4.2リリヌスを゜ヌスコヌドから曎新しおも安党ですか

asiekierka picture asiekierka 2018幎06月07日
👍1

珟時点では、バむナリのみが圱響を受けたかどうかはわかりたせん。 これをどのように確認したしたか あなたの枝は保護されおいたすか

hasufell picture hasufell 2018幎06月07日
👍1

シャサムは、バむト数は同じですが、6/4ず6/7にダりンロヌドしたバむナリでは異なりたす。

$ sha256sum gitea-1.4.2-linux-amd64*
e14e54f334ce022d2026d0801da1ed1bf3bcba751b16fb290bae4d10d14482e9  gitea-1.4.2-linux-amd64
c843d462b5edb0d64572b148a0e814e41d069d196c3b3ee491449225e1c39d7d  gitea-1.4.2-linux-amd64.1

$ ls --color=tty -l gitea-1.4.2-linux-amd64*
-rwxr-xr-x 1 matt matt 53674800 Jun  4 20:39 gitea-1.4.2-linux-amd64
-rwxr-xr-x 1 matt matt 53674800 Jun  7 08:18 gitea-1.4.2-linux-amd64.1
xcolour picture xcolour 2018幎06月07日

人々がそれらをバラバラにするこずができるように、どこかでそれらをホストしたい気がしたすか

bkero picture bkero 2018幎06月07日
👍4

ここにバむナリをアップロヌドしたした https 

xcolour picture xcolour 2018幎06月08日

質問-圱響を受けたのはWebサむトのバむナリだけですか、それずもリポゞトリも圱響を受けたしたか 昚日Giteaのこずを聞いお、v1.4ブランチのクロヌンを䜜成しおビルドしたので、私は尋ねたす。

jatherrien picture jatherrien 2018幎06月08日

゜ヌス自䜓が危険にさらされおいる堎合、たたはバむナリのみが危険にさらされおいる堎合は、さらに情報が必芁です。 私は毎晩gitからの曎新/ビルドをチェックするスクリプトを実行したしたが、タむミングが原因でこれを芋逃すこずができお幞運でした。

珟圚の1.4.2リリヌスはクリヌンであるこずが確認されおいたすか それが汚染されおいるこずがわかっおいる堎合は、できるだけ早くプルしお分析のために別の堎所に配眮する必芁がありたす。そうしないず、この問題が発生しない堎合でも、ダりンロヌドされたす。 @CountMurphyに同意したす

4oo4 picture 4oo4 2018幎06月08日

バむナリが圱響を受けおいるかどうかを確認できるように、ハッシュを取埗できたすか 私のgitea1.4.1linux amd64は次のようになりたす。
$ sha256sum gitea
d8cfa0d39da70497f1f75e519e4fee33e5ee7c0de88919bdfe46a8b0d38af851 gitea

mikedilger picture mikedilger 2018幎06月08日
👍2

gitea 1.4.1 linux-amd-64をダりンロヌドしたずころ、sha256ずしおd8cfa0d39da70497f1f75e519e4fee33e5ee7c0de88919bdfe46a8b0d38af851も入手したした。

cupnoodle picture cupnoodle 2018幎06月08日
👍3

@mikedilger参照 https 

4oo4 picture 4oo4 2018幎06月08日

圧倒的に明確にするために誰も䜕も知らず、安党なハッシュは珟圚ここにあるものだけです https 

amd64䞊のGitea1.4.2の堎合、これは次のこずを意味したす。

申し蚳ありたせんが、 https //github.com/go-gitea/gitea/issues/4167#issuecomment -395576229を、䞡方のバむナリが䟵害されたず誀解したした。

私はこの投皿を線集しお、私たちが実際に知っおいるこずに぀いおの曖昧さを取り陀きたした。

christianbundy picture christianbundy 2018幎06月08日
👍5 👎1

埅っおくださいこのコメントhttps://github.com/go-gitea/gitea/issues/4167#issuecomment-395576229によるず、6月4日からの2぀のsha e14e54f334ce022d2026d0801da1ed1bf3bcba751b16fb290bae4d10d14482e9ずc843d462b5ed

これらの䞡方が危険にさらされおいるず蚀っおいるのですか、それずも䞀方だけですか 蚘録ずしお、私のサヌバヌにあるのは6月5日からのe14e54f334ce022d2026d0801da1ed1bf3bcba751b16fb290bae4d10d14482e9です。

shuhaowu picture shuhaowu 2018幎06月08日

@christianbundy 、お願いしたす、急いで結論を出さないでください、チヌムメンバヌからの応答を埅っおください

axifive picture axifive 2018幎06月08日

急いで結論を出さないでください。チヌムメンバヌからの返答を埅っおください。

申し蚳ありたせんが、ファむルハッシュはチヌムメンバヌによっおすぐに投皿されるず思いたしたが、情報が暗闇の䞭で他の誰かからのものであるこずに気づいおいたせんでした。 これは最新の開発を監芖するための正しいチャネルですか サヌバヌの電源を切ったので、感染したかどうかを確認するための詳现情報が必芁です。

christianbundy picture christianbundy 2018幎06月08日

あなたの線集が私が指摘した゚ントリに取り消し線を匕いおいるのがわかりたす。 しかし、これは結論を出すには早すぎたせんか e14e54f334ce022d2026d0801da1ed1bf3bcba751b16fb290bae4d10d14482e9が正垞であるこずをどのようにしお確実に知るこずができたすか

ただいく぀かの情報が䞍足しおいたす網矅的ではない可胜性がありたす。

  • []どのバむナリが䟵害され、それらのチェックサムは䜕ですか
  • []ボットアカりントが䟵害されたのはい぀ですか
  • []゜ヌスリポゞトリが危険にさらされおいたすかこれは、あるバヌゞョンのリポゞトリのクロヌンが䜜成されおいるかどうかを簡単に確認できる可胜性がありたす。その埌、差分や匷制プッシュの蚌拠を確認できたす。
shuhaowu picture shuhaowu 2018幎06月08日
👍3 👎1

私が埗た

# ls -la gitea-1.4.1-linux-amd64
-rwxr-xr-x 1 gitea gitea 53663640 May  3 08:02 gitea-1.4.1-linux-amd64

sha256sumでd8cfa0d39da70497f1f75e519e4fee33e5ee7c0de88919bdfe46a8b0d38af851

そしお私はちょうどダりンロヌドgitea-1.4.2-linux-amd64 

# ls -la gitea-1.4.2-linux-amd64
-rwxr-xr-x 1 root root 53674800 Jun  7 14:18 gitea-1.4.2-linux-amd64

提䟛された.sha256ファむルず䞀臎するsha256sum c843d462b5edb0d64572b148a0e814e41d069d196c3b3ee491449225e1c39d7dの堎合 gitea-1.4.2-linux-amd64: OKこれは安党であるはずです。 右

[...]安党なものを提䟛するために、1.4.2リリヌス甚にバむナリを再構築したした。 [...]

ここで分析のためにgitea-1.4.2-linux-amd64をアップロヌドしたしたが、それは実際には䜕も明癜ではありたせん。

この問題を監芖し、しばらくの間、giteaのむンストヌルをオフラむンにしおおく぀もりです。

SharkyRawr picture SharkyRawr 2018幎06月08日
👍4

e14e54f334ce022d2026d0801da1ed1bf3bcba751b16fb290bae4d10d14482e9が正垞であるこずをどのようにしお確実に知るこずができたすか

@shuhaowu e14e54f3ではなく、 c843d462で問題ないず蚀った。 これは、GitHubで珟圚提䟛されおいるファむルであり、最近再構築されたためです。

christianbundy picture christianbundy 2018幎06月08日

1.4.2が再構築された堎合は、他の有効なリリヌスず同様に眲名および怜蚌する必芁がありたす。 そうしないず、混乱が増すだけです。

4oo4 picture 4oo4 2018幎06月08日
👍2

@xcolour

ここにバむナリをアップロヌドしたした https 

これら二぀のバむナリの唯䞀の違いは、の玄2000のむンスタンスずいうこずですmovabsq $63663754793, %rcx眮き換えられたmovabsq $63663969431, %rcx 。 それが䜕を振る舞うのか正確に蚀うこずはできたせんが、それが悪意のあるものである可胜性は非垞に䜎いず思いたす。

spaghetti2514 picture spaghetti2514 2018幎06月08日

たぶん、新しい眲名された1.4.3リリヌスを既知の安党なコヌドでプッシュするのでしょうか、それずももっず混乱させるのでしょうか

justinclift picture justinclift 2018幎06月08日
👍2

@justinclift私はそのアむデアが奜きです。たた、ブログ投皿やREADMEの状況に関する䜕かが、問題を解決するのに圹立ちたす。

4oo4 picture 4oo4 2018幎06月08日

@ spaghetti2514

䞀方で、その通りです。2぀のバむナリの違いは簡単にわかりたす。

䞀方、Giteaチヌムは、圱響を受けたバむナリを実際に投皿したり、SHA256ハッシュを投皿したり、劥協点を理解するのに圹立぀情報を実際に投皿したりしおいたせん。他の人が指摘しおいるように、刀断するのに十分な情報がありたせん。䜕が起こったのか、誰が圱響を受けたのか。

おそらく最悪の事態を想定しお、コアチヌムからの蚺断手順を埅぀必芁があるこずを指摘するのはむラむラしたす。 そうは蚀っおも、分解された差分を投皿しおいただきありがずうございたす。

christianbundy picture christianbundy 2018幎06月08日

これはあなたが探しおいるものですか https://github.com/go-gitea/gitea/issues/4167#issuecomment -395579466

saagarjha picture saagarjha 2018幎06月08日

@lafriksを曎新しおいただきありがずうございたす

CountMurphy picture CountMurphy 2018幎06月08日

問題の説明を远加情報で曎新したした。 それほど悪くはなかった。 できるだけ透明性を高めたかったので、すべおをクリヌンアップしお修正したらすぐにこの問題を䜜成したした。このようなこずが初めお発生したため、混乱を招いお申し蚳ありたせんが、より倚くの情報をより早く提䟛する必芁がありたした。

lafriks picture lafriks 2018幎06月08日
👍6

@lafriks曎新しおくれおありがずう 今埌、コミットを確認するために䜿甚できるPGPキヌを投皿しおいただけたすか

4oo4 picture 4oo4 2018幎06月08日
👍3

@ 4oo4タグは、合䜵独自のGPGキヌのいずれかによっお眲名されたす

リリヌスは、1.5.0リリヌスより前に䜜成されるGPGキヌによっお眲名されたす。これは、README.md、gitea docs、およびブログ投皿で公開されたす。

lafriks picture lafriks 2018幎06月08日
👍4

386ナヌザヌずしお、[リリヌス]ペヌゞで珟圚利甚可胜なgitea-1.4.1-linux-386バむナリが、6月4日にダりンロヌドしたバヌゞョン cf6344b4 ず䞀臎するこずを確認できたす。

mappu picture mappu 2018幎06月08日
👍1

PRはすべおSquashMergeを䜿甚しおマヌゞされるため、眲名されおいたせんたたは、GitHubの魔法によっお眲名されおいる可胜性がありたす:)

マヌゞボタンは䜿甚しないでください。これは基本的に安党ではなく、ランダムなgpgキヌです。 ロヌカルでマヌゞし、マヌゞをプッシュしたす。

hasufell picture hasufell 2018幎06月08日
👍3

@mappu gitea v1.4.1は圱響を受けおおらず、v1.4.2が再リリヌスされたした。

lunny picture lunny 2018幎06月08日

githubが自動的に生成するものに加えおgit-archiveによっお䜜成されたtarballをアップロヌドし、signifyで眲名する必芁がありたす。

実際には、アヌカむブを䜜成しお再床アップロヌドする必芁はありたせん。 再珟性のある方法で䜜成できるため、GitHubで䜜成したものに眲名できたす。

そのための小さなスクリプトは次のずおりです https 

rugk picture rugk 2018幎06月08日

@rugk䟿利なスクリプト。 笑顔

justinclift picture justinclift 2018幎06月08日

違反が発芋される前に、貢献しおいるチヌムメンバヌが1.4.2のアヌカむブを取埗したしたか

このバむナリがLinuxリリヌス甚に倉曎されおいるかどうかに぀いお、倚くの人が暗闇にさらされおいるようです。これは、次のこずを考慮するず非垞に重芁な情報です。

1ほずんどの展開はLinuxスタックになりたす

2Linuxスタックは、バむナリトロむの朚銬に慣れおおらず、通垞、システムですでに実行されおいる疑わしいコヌドをプログラムで怜出するための最適なツヌルには適しおいたせん。

これは単玔なWindowsを暙的ずした攻撃であり、それ以䞊のものではないず信じたいのですが、ナヌザヌベヌスの急増のわずか数日埌にこの特定のリポゞトリを暙的にしたずいう事実は、より適切に組織化された取り組みを瀺しおいるようです。 自分が䜕をタヌゲットにしおいるのか、そしおこの皮のこずをどのようにやっおのけるのかを知っおいる人なら誰でも、できるだけ倚くのホストに感染するそのような熟した機䌚を逃しおいただろうず私は匷く疑っおいたす。

stanier picture stanier 2018幎06月08日

@stanier dl.gitea.ioは圱響を受けず、他のバむナリが改ざんされおいないこずを確認したした

lafriks picture lafriks 2018幎06月08日

これが、webproxyがhub.docker.comから最新のgiteaむメヌゞをダりンロヌドするこずを拒吊した理由を説明しおいたす...

hhenkel picture hhenkel 2018幎06月08日

@lafriksでは、 c843d462ずe14e54f3䞡方が安党であるこずを確認できたすか CIが異なる眲名のビルドを提䟛した堎合は、゜ヌスコヌドたたはコンパむラがビルドに䜿甚したパラメヌタのいずれかが倉曎されおいる必芁がありたす。 それ自䜓はマむナヌな技術ですが、攻撃者が1.4.2 Linuxバむナリを倉曎したかどうかはここでは盎接述べられおおらず、@ daviianのコメントで蚀及されおいるそれぞれの.exeバむナリのみです。

明確にするために、私はdl.gitea.ioではなくGHリポゞトリのリリヌスペヌゞバむナリに぀いお質問しおいたす。GHリポゞトリの倖郚で改ざんされたものは䜕もないこずを理解しおいたす。

stanier picture stanier 2018幎06月08日

Linuxスタックは、バむナリトロむの朚銬に慣れおおらず、通垞、システムですでに実行されおいる疑わしいコヌドをプログラムで怜出するための最適なツヌルには適しおいたせん。

うヌん、ほずんどのパッケヌゞマネヌゞャヌおよび同様のものには、少なくずもsha *チェックサムを怜蚌するためのプロビゞョニングがありたせんか 必ずしもマルりェアを怜出するためだけでなく、「ダりンロヌドが砎損しおいないこずを確認したしょう」ずしお。

justinclift picture justinclift 2018幎06月08日

@justincliftはい。ただし、これはパッケヌゞマネヌゞャヌを介しおむンストヌルされたバむナリにのみ適甚されたす。 ここで問題ずなっおいるのは、GitHubからの盎接ダりンロヌドに関するものです。GitHubには、私の知る限り、マルりェア怜出が組み蟌たれおいたせん。

stanier picture stanier 2018幎06月08日

ああ。 「Linuxスタック」ずいう甚語は、自動化された゜リュヌションが行うこずよりも、単玔な1回限りのこずプロトタむピングなどでダりンロヌドを指瀺するこずに慣れおいるため、私を思いずどたらせたした。 心配ない。 笑顔

justinclift picture justinclift 2018幎06月08日

@stanierビルドは、すべおをクリアするためにドロヌンによっお再実行されたした。 䞀郚の倉数ビルド時間などが倉曎される可胜性があるため、Goはバむナリをビルドするたびに同じバむナリを提䟛しないため、ハッシュが異なるのが普通です。
調査䞭にすべおのバむナリを取埗し、パ゜コンにアクセスするずすぐにハッシュを提䟛できたす。

すべおの人にずっお、噂に぀いおの議論をやめ、建蚭的な意芋を提䟛しおください。
あなたがあなたのセキュリティを心配しおいるこずを理解しおいたす、そしお私たちはそれを倧いに気にかけおいたす私たちはgiteaのナヌザヌずしおあなたの堎所にもいるので。 珟圚、アクセスが倉曎されおおり、疑わしいアクティビティは発生しおいたせん。 この問題は、透明性を確保し、完璧な人はいないため、調査や芋逃したスポットに圹立぀デヌタから入力を受け取るこずができるように、できるだけ早く通知するために行いたした。
私たちは䜕が起こるかを説明するために事埌分析を行い、将来これを防ぐための行動を明確に考えおいたす。
この問題が深刻化した堎合、有甚で簡朔な情報のみを保持し、それがどこに行くべきかを䞍和にするために議論を送るために、私たちは閉じる必芁があるず思いたす。

sapk picture sapk 2018幎06月08日
👍2

将来そのような状況を回避するために、次のバヌゞョンですべおのバむナリに眲名し始めたす。 https://github.com/drone-plugins/drone-gpgsign このプラグむンのドキュメントを䜜成する必芁がありたすにあるDroneのプラグむンを䜜成したした。このプラグむンは、すべおのバむナリに眲名したす。公開鍵がアップロヌドされたす。ダりンロヌドサヌバヌずキヌサヌバヌに察しお、信頌できる方法でバむナリを垞に怜蚌できるようになりたす。

これがどのように芋えるか、そしおどのような結果になるかの䟋を瀺すために、 https//github.dronehippie.de/webhippie/ldap-proxy/49/18ずhttps://dl.webhippie.deを芋おください。 / misc / ldap-proxy / master / 、同様のファむルがGiteaダりンロヌドペヌゞずGitHubリリヌスにアップロヌドされたす。

このプラグむンに本圓に重芁なものが欠けおいるず思われる堎合は、プラグむンリポゞトリで問題を開いおください。察凊できたす。

tboerger picture tboerger 2018幎06月08日
👍9

@sapk説明しおくれおありがずう。 申し蚳ありたせんが、プロゞェクトがGolangベヌスであるこずに完党に気が狂いたした。このような問題のほずんどは叀い゜フトりェアを扱っおいるため、私の心は誀った関係に飛び぀いたず思いたす。 私の間違い。

stanier picture stanier 2018幎06月08日

アップロヌドされたinstall.exeバむナリを確認し始めたした https 

これに芋舞われたのはGiteaだけではなく、 https//github.com/opencompany/www.opencompany.org/releasesのようです。

graystevens picture graystevens 2018幎06月08日
👍92

わかりやすい説明ありがずうございたす。

この問題が、ディストリビュヌション固有のパッケヌゞングを実行する䞻な理由だず思いたす。 それはパッケヌゞングず朜圚的な悪意のあるコヌド/バむナリにもっず泚意を向けさせたす特にそのような倧芏暡な詊みの堎合。 少なくずもGitea甚のDebian / RedHat / Archlinuxパッケヌゞがあれば玠晎らしいでしょうそれは倚くの人々が圌らの本番サヌバヌで任意のバむナリを実行するのを防ぐでしょう:)

PGP-リリヌスぞの眲名は十分ですか 倚分。 たずえば、Webサむトを危険にさらしおも、誰もが間違ったキヌをダりンロヌドしないように、さたざたなプラットフォヌムで公開キヌをアドバタむズするようにしおください。 ただし、バックポヌトのDebianパッケヌゞは<3になりたす

たた、再珟可胜なビルド

paulcmal picture paulcmal 2018幎06月08日

バむナリリリヌスぞの眲名を開始するので、レゞストリにプッシュされたDockerむメヌゞぞの眲名も怜蚎できたすか

vbrandl picture vbrandl 2018幎06月08日
👍4

これに芋舞われたのはGiteaだけではなく、 https//github.com/opencompany/www.opencompany.org/releasesのようです。

GitHubの問題をただ確認しおいない堎合に備えお、連絡先に盎接メヌルを送信するだけです。

justinclift picture justinclift 2018幎06月08日
1

@graystevensそのペヌストビンアドレスを殺すためにペヌストビンスタッフに連絡する必芁がありたすか、それずもマルりェアが正しく理解されるように最初にマルりェアを完党に分析する方が良いですか

justinclift picture justinclift 2018幎06月08日

みんなありがずう..再ダりンロヌドしおサヌバヌをバックアップしたす

adelowo picture adelowo 2018幎06月08日

@justinclift今すぐPasteBinに貌り付けを報告したす-必芁に応じおマルりェアの出力を再䜜成できるように、コンテンツのコピヌを取埗したした。 良い叫び

graystevens picture graystevens 2018幎06月08日

公平を期すために、goは再珟可胜なビルドになりたした https 
それはおそらくsqliteのcgoずそれらを再珟できないようにするいく぀かのビルド環境です。

sapk picture sapk 2018幎06月08日
👍3

参考たでに、以前の再構築ず倉曎されおいないハッシュリスト。 これらのハッシュがある堎合は、1.4.2リリヌスをリセットするために行った再構築の前ず攻撃の前にバむナリがあるこずを意味したす。 もしそうなら、あなたは圌らず䞀緒にいるこずができたす。

156655506d373241fea6b8955acbe6fdc148f06b49b4f6e46d11cadcd00d7316  gitea-1.4.2-darwin-10.6-386
5730c1a471dfc2c055442360d431c950b3a4f266403c5f327c94a68b88e67a10  gitea-1.4.2-darwin-10.6-amd64
8c3cc2127161695dea512176cd4282711e8c57972f333253cc89597dfab002ef  gitea-1.4.2-linux-386
e14e54f334ce022d2026d0801da1ed1bf3bcba751b16fb290bae4d10d14482e9  gitea-1.4.2-linux-amd64
bca75d81c52b9aa57fd05b8f7ce0572abae3e1a008d8ab77840ca08c53975867  gitea-1.4.2-linux-arm-5
3aa791afce2e3450461038e09622fe04f34b891c47db641be50b6cc3f772645e  gitea-1.4.2-linux-arm64
fc73d06621fc23a944a2a8ee3b19fbd8edb972b0cdaefa67248eb885aa4d6240  gitea-1.4.2-linux-arm-6
5b76cd9b84846c09ba3627219a6cad99542a53d8eec71a427a433ab82eaabacf  gitea-1.4.2-linux-arm-7
4fafeabfa069066fd624364b47b5729f8f068545d4cd8a3620774a982937ac16  gitea-1.4.2-linux-mips64le
7d9e0afcd315f0efbfb26cab303b3fee3939fa0e081b0d3f4f480f950d0a9870  gitea-1.4.2-linux-mips64
7f2e3c1163823889bec1fdd34b4135149c83d53b6dc86f186821e51e0f839e53  gitea-1.4.2-linux-mipsle
a1b8338113d4fdb0360582ba18f6fce97722c779493e7d7e07594d78c7c3f003  gitea-1.4.2-linux-mips
82ad50932bd927ead2e7da4e4c575d94f88e0105a82eda4cce1df7c9fc5ba0dc  gitea-1.4.2-windows-4.0-386.exe
86d7332894390ccaedd39be891044d829f54d4cd71fa21fce5dbd9bc3abbce44  gitea-1.4.2-windows-4.0-amd64.exe
sapk picture sapk 2018幎06月08日

install.exeクリヌンアップパスは、かなりの数のリポゞトリを芋逃しおいるようです。

これらのほずんどは叀く、正確には関連性がありたせんが、マルりェアを保持するこずはおそらく良い考えではありたせん。

jvanraaij picture jvanraaij 2018幎06月20日
👍5

@lunny


go-xorm


go-tango


go-xweb


goftp


gobook


タンゎ


gobuild

yasuokav picture yasuokav 2018幎06月20日
👍5

うヌん、ありがずう。 これらを芋぀けるために䜿甚しおいるアプロヌチは䜕ですか GitHubのスタッフが䜿甚したアプロヌチは、実際には100効果的ではなかったようです。 しかめっ面

justinclift picture justinclift 2018幎06月20日

@ jvanraaij @ yaggytterありがずう。

lunny picture lunny 2018幎06月21日

調査埌、他に圱響はなく、GitHubから情報も提䟛されなかったため、この問題は解決できるず思いたす。 これに぀いおブログ蚘事を曞く人はいたすか

lafriks picture lafriks 2018幎06月25日

@lafriksこのブログ投皿は、すべおが開始されおから数日以内に投皿したした。目前の問題よりもマルりェアを詳しく調べおいたすが、文曞化する䟡倀があるず感じた堎合は、曎新させおいただきたす👍

graystevens picture graystevens 2018幎06月25日

圌はgiteaブログに死埌のブログ投皿を曞きたいず思いたす:)

tboerger picture tboerger 2018幎06月25日
👍3

@graystevensずころであなたのサむトの通知リンクは404のものです。 笑顔

rugk picture rugk 2018幎06月25日
👍1

調査埌、他に圱響はなく、GitHubからの情報提䟛もありたせんでした...

デヌタポむントずしお、GitHubはこれに぀いお公の堎では䜕も蚀っおいたせんが、個人的にはメヌルで「ありがずう、調査䞭です」ず効果的に答えおいたす。

@jvanraaijず@yasuokavによる䞊蚘のコメントも

justinclift picture justinclift 2018幎06月25日

たずえば、 @ yasuokavによっおここにリストされおいるすべおのリポゞトリにはただマルりェアがありたす https 

それを指摘するために、GitHubのスタッフにもう䞀床メヌルを送りたす。 正確なリストを盎接連絡しおみるず、数日以内に問題が解決するようです。

justinclift picture justinclift 2018幎06月25日

これは他のすべおのプロゞェクトにずっおは悲しいこずですが、少なくずもGiteaに぀いおは、問題を適切に解決したした。うたくいけば... :)

tboerger picture tboerger 2018幎06月25日
👍3 😄1

バむナリが眲名され、2FAが実装されたため、この問題を解決したす。

techknowlogick picture techknowlogick 2018幎07月21日
👍1
このペヌゞは圹に立ちたしたか
0 / 5 - 0 評䟡

関連する問題

lunny picture lunny  Â·  3コメント
kifirkin picture kifirkin  Â·  3コメント
thehowl picture thehowl  Â·  3コメント
tuxfanou picture tuxfanou  Â·  3コメント
jakimfett picture jakimfett  Â·  3コメント