4 篇標籤為 "security" 的文章

在 2024 年 3 月 29 日 18:07 UTC，核心團隊得知近期揭露的 xz 後門程式，現在標記為 CVE-2024-3094。

就我們所知，conda-forge 的 xz 產出物未受影響。

在 2023 年 6 月，來自 Anaconda 的軟體工程師回報了包含在 Windows 版本 miniforge 和 mambaforge 安裝程式（基於 conda-forge 的 conda 和 mamba 發行版的主要啟動方式之一）中的解除安裝程式存在安全性問題。

在 2023 年 1 月初，CircleCI 通知我們，他們發生了大規模的安全漏洞，第三方已取得存取儲存在服務中的所有環境機密的權限。對於 conda-forge 而言，這些機密是用於將建置的套件上傳到我們在 anaconda.org 上的暫存區域的 API 權杖，以及我們為每個 feedstock 產生的唯一權杖。feedstock 權杖在我們的產出物暫存流程中用作一部分，以確保只有給定 feedstock 的維護者可以上傳由該 feedstock 建置的套件。稍後在 1 月，CircleCI 通知我們，他們的安全漏洞始於 2022 年 12 月 19 日，大部分機密在幾天後以純文字形式從他們的伺服器中洩露。有權存取這些機密的惡意第三方可能會在 conda-forge 上傳任何套件的受損版本，即所謂的「供應鏈」攻擊。

在 2021 年 9 月 9 日，我們的一位核心開發人員發現，在 Travis CI 上建置的產出物正從在 fork 儲存庫上執行的 PR 上傳到我們的 conda 頻道。快速調查顯示，Travis CI 正在將加密的機密傳遞到 fork 上的 PR 建置。進一步檢查我們的日誌和產出物表明，這種情況自 2021 年 9 月 3 日左右就已發生。Travis CI 隨後確認了這個安全漏洞。請參閱此 CVE 以取得有關此事件的更多詳細資訊。據我們所知，沒有針對 conda-forge 的實際漏洞利用使用了此漏洞。