SonarQube应用程序中存在严重漏洞

SonarQube漏洞

美国联邦调查局（俗称FBI）最近发布了有关SonarQube应用的警告。 对于那些不太熟悉的人，声纳是用于源代码质量控制，调试和跟踪的完全开源软件。 通过运行源代码，我们可以快速获取有关遵循了多少标准或代码中有多少重复项的统计信息。 这就是SonarQube漏洞出现的地方。

到底发生了什么事？

因此，FBI警告说，黑客已利用SonarQube的漏洞之一，并获得了访问信息和源代码的权限。 根据警告主要是美国政府和美国公司在十字准线。 不幸的是，该漏洞并不是最近才发现的，它至少从2020年4月开始存在。 任何未及时采取适当预防措施或使用受保护不足的计算机进行工作的人都可能成为攻击的受害者。 实际上，即使只是巧合，也可能导致黑客成功。

资料来源：medium.com

这是因为该漏洞非常明显，因为如果用户端软件使用默认端口（9000），则可以使用默认用户名和密码轻松访问该程序。 因为默认的用户名和密码均为“ admin”。 并且这不仅是有问题的，因为现有程序的源代码可能已被未经授权的人员访问。 另外，由于可以深入了解尚未完成的源代码，因此它甚至没有进入测试阶段。 令人遗憾的是它已经存在了几个月，即使在7月，黑客已经成功地从一家未具名的公司窃取了源代码。 然后，他以任何人都可以访问的形式发布了该文档。

那么SonarQube用户现在可以做什么？

绝对防火墙我们需要将应用放在背后我们还需要设置用户名和密码。 另外，立即将默认端口设置从9000更改。 但是这个故事也特别敏感，因为SonarQube非常受欢迎，例如直接链接到GitHub和BitBucket。 并且以一种有趣的方式，它们被用来识别代码中的漏洞。 此外，自2018年以来，一些安全专家一直在抱怨某些SonarQube漏洞的存在。 有一位安全专家甚至偷走了代码来指出漏洞。

@zackwhittaker报道了EE泄漏后，我对Sonarqube进行了一些查询。 震惊地看到超过3K +的可用实例，其中大约30-40％的实例未设置身份验证，几乎一半的实例包含带有prod数据的源代码。 大牌涉及，另一个领域。 pic.twitter.com/tKBRLOYzq1

-鲍勃·迪亚琴科（@MayhemDayOne）2018年5月16日

这主要是由于用户的行为，因为大多数用户甚至都没有更改其默认设置。

—-

原文链接：https://www.bitcoinbazis.hu/sonarqube-biztonsagi-res/

原文作者：Tomasito

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。