HashiCorp, una reconocida empresa por el desarrollo de kits de herramientas abiertos como Vagrant, Packer, Nomad y Terraform, dio a conocer hace ya varios dias la noticia sobre una filtración de la clave GPG cerrada utilizada para crear la firma digital que verifica las versiones de su software.

En su publicación comentan que los atacantes que obtuvieron acceso a la clave GPG con lo cual podrían potencialmente realizar cambios ocultos en los productos HashiCorp al certificarlos con la firma digital correcta. Al mismo tiempo, la empresa dijo que durante la auditoría no se encontraron rastros de intentos de realizar tales modificaciones.

Mencionan que en el momento en el que detectaron la clave GPG comprometida esta fue revocada y posterior a ello se realizó la introducción de una nueva clave en su lugar.

El problema solo afectó la verificación mediante archivos SHA256SUM y SHA256SUM.sig y no afectó la generación de firmas digitales para paquetes DEB y RPM de Linux suministrados a través del sitio web «releases.hashicorp.com», así como los mecanismos de confirmación de lanzamiento para macOS y Windows (AuthentiCode).

El 15 de abril de 2021, Codecov (una solución de cobertura de código) reveló públicamente un evento de seguridad durante el cual una parte no autorizada pudo realizar modificaciones a un componente de Codecov que los clientes de Codecov descargan y ejecutan al usar la solución.

Estas modificaciones permitieron a la parte no autorizada exportar potencialmente la información almacenada en los entornos de integración continua (CI) de los usuarios de Codecov. Codecov reveló que el acceso no autorizado comenzó el 31 de enero de 2021 y fue identificado / remediado el 1 de abril de 2021.

La filtración se produjo debido al uso del script Codecov Bash Uploader (codecov-bash) en la infraestructura, diseñado para descargar informes de cobertura de sistemas de integración continua. Durante el ataque a la empresa Codecov en el script especificado se escondió un backdoor incrustado a través de la cual se organizó el envío de contraseñas y claves de cifrado a un servidor malicioso.

Para hackear la infraestructura de Codecov, los atacantes aprovecharon un error en el proceso de creación de la imagen de Docker, lo que les permitió extraer los datos para acceder al GCS (Google Cloud Storage) necesarios para realizar cambios en el script Bash Uploader distribuido desde el sitio web codecov.io.

Los cambios se realizaron el 31 de enero, dos meses pasaron desapercibidos y permitieron a los atacantes extraer información almacenada en los entornos de los sistemas de integración continua del cliente. Con el código malicioso agregado, los atacantes podrían obtener información sobre el repositorio de Git probado y todas las variables de entorno, incluidos los tokens, las claves de cifrado y las contraseñas pasadas a los sistemas de integración continua para proporcionar acceso al código de la aplicación, repositorios y servicios como Amazon Web. Servicios y GitHub.

HashiCorp se vio afectado por un incidente de seguridad con un tercero (Codecov) que llevó a la posible divulgación de información confidencial. Como resultado, se ha rotado la clave GPG utilizada para la firma y verificación de la versión. Los clientes que verifican las firmas de versiones de HashiCorp pueden necesitar actualizar su proceso para usar la nueva clave.

Si bien la investigación no ha revelado evidencia de uso no autorizado de la clave GPG expuesta, se ha rotado para mantener un mecanismo de firma confiable.

Además de la invocación directa, el script Codecov Bash Uploader se ha utilizado como parte de otros descargadores como Codecov-action (Github), Codecov-circleci-orb y Codecov-bitrise-step, cuyos usuarios también se ven afectados por el problema.

Finalmente se hace la recomendación a todos los usuarios de codecov-bash y productos relacionados que auditen sus infraestructuras y cambien las contraseñas y claves de cifrado.

Además HashiCorp ha publicado versiones de parches de Terraform y herramientas relacionadas que actualizan el código de verificación automática para usar la nueva clave GPG y brindó una guía separada específica de Terraform.

Si quieres conocer más al respecto, puedes consultar los detalles dirigiéndote al siguiente enlace.

from Linux Adictos https://ift.tt/3bfTHE6
via IFTTT

Valve sigue mejorando su cliente Steam Play y también otros proyectos relacionados con el mundo gaming en Linux, como es la actualización de Proton. Si aún no sabes qué es Steam y Proton, decir que el primero es el cliente de la tienda de videojuegos Steam, y el segundo es un proyecto basado en WINE, pero con algunas modificaciones para mejorar la compatibilidad de los videojuegos nativos de Windows e integrado en el cliente Steam. ¿Objetivo? Que los títulos para Windows que compres puedan funcionar también tu distro sin necesidad de configuraciones ni de instalaciones extrañas por tu cuenta…

Pues bien, Steam Play se ha actualizado con algunas mejoras, entre ellas destaca la integración de una nueva versión de Proton. Ahora llega la versión Proton 6.3-3, basado en WINE 6.

Entre las mejoras presentes en esta nueva versión de Proton para Steam destacan:

• Actualización de VKD3D-Proton a v2.3.1
• Ahora Origin Overlay es funcional y permite jugar a It Takes Two con amigos.
• Mount & Blade II: Bannerlord ahora es jugable sin los problemas previos.
• Se corrigió el error «No comprado» (Not Purchased) que se daba antes en Red Dead Redemption 2.
• Han arreglado el bloqueo de Age of Empires II: Definitive Edition que ocurría al inicio.
• Lanzadores fijos para Evil Genius 2, Zombie Army 4, Strange Brigade, Sniper Elite 4, Beam.NG y Eve Online.
• Solución a la detección del mando controlador de la Xbox en Far Cry Primal.
• Y mucho más…

Muchas de esas soluciones ya estaban disponibles en la versión Proton Experimental, pero no en la versión final. Por supuesto, en la nueva versión de prueba también habrá nuevos cambios.

Si quieres probar ya Proton en Steam, ya sabes que puedes instalar el cliente de Steam desde la web oficial, aunque también lo encontrarás en los repos de la mayoría de las distros populares, para que puedas instalarlo con mayor facilidad…

from Linux Adictos https://ift.tt/2RAmcp4
via IFTTT