4 篇标记为“security”的文章

2024 年 3 月 29 日 18:07 UTC，核心团队获悉最近披露的 xz 后门，现在标记为 CVE-2024-3094。

据我们所知，conda-forge 的 xz 工件未受影响。

2023 年 6 月，来自 Anaconda 的软件工程师报告了 miniforge 和 mambaforge 安装程序的 Windows 版本中包含的卸载程序中的安全问题，这是引导基于 conda-forge 的 conda 和 mamba 发行版的主要方法之一。

2023 年 1 月初，CircleCI 通知我们，他们发生了大规模安全漏洞，第三方获得了对服务中存储的所有环境密钥的访问权限。对于 conda-forge，这些密钥是用于将构建的软件包上传到我们在 anaconda.org 上的暂存区的 API 令牌，以及我们为每个 feedstock 生成的唯一令牌。feedstock 令牌用作我们工件暂存过程的一部分，以确保只有给定 feedstock 的维护者才能上传由该 feedstock 构建的软件包。1 月下旬，CircleCI 通知我们，他们的安全漏洞始于 2022 年 12 月 19 日，大部分密钥在几天后以纯文本形式从他们的服务器中泄露。恶意第三方如果可以访问这些密钥，则可能会在所谓的“供应链”攻击中上传 conda-forge 上任何软件包的受损版本。

2021 年 9 月 9 日，我们的一位核心开发人员发现，在 Travis CI 上构建的工件正在从在 fork 仓库上运行的 PR 上传到我们的 conda 频道。快速调查显示，Travis CI 正在将加密密钥传递给 fork 上 PR 构建。进一步检查我们的日志和工件表明，这种情况自 2021 年 9 月 3 日左右以来一直发生。Travis CI 随后证实了此安全漏洞。有关此事件的更多详细信息，请参阅此 CVE。据我们所知，没有针对 conda-forge 的实际漏洞利用使用了此漏洞。