GCP - Artifact Registry Persistence
Artifact Registry
Für weitere Informationen zur Artifact Registry siehe:
pageGCP - Artifact Registry EnumAbhängigkeitsverwirrung
Was passiert, wenn ein Remote- und ein Standard-Repository in einem virtuellen Repository gemischt sind und ein Paket in beiden existiert?
Das mit der höchsten Priorität im virtuellen Repository wird verwendet
Wenn die Priorität gleich ist:
Wenn die Version gleich ist, wird der alphabetisch zuerst benannte Richtlinienname im virtuellen Repository verwendet
Andernfalls wird die höchste Version verwendet
Daher ist es möglich, eine höchste Version (Abhängigkeitsverwirrung) in einem öffentlichen Paket-Repository zu missbrauchen, wenn das Remote-Repository eine höhere oder gleiche Priorität hat
Diese Technik kann für Persistenz und unauthentizierten Zugriff nützlich sein, da es zum Missbrauch nur erforderlich ist, den Namen einer Bibliothek zu kennen, die im Artifact Registry gespeichert ist, und diese gleiche Bibliothek im öffentlichen Repository (zum Beispiel PyPi für Python) mit einer höheren Version zu erstellen.
Für die Persistenz müssen Sie die folgenden Schritte befolgen:
Anforderungen: Ein virtuelles Repository muss existieren und verwendet werden, ein interner Paket mit einem Namen, der nicht im öffentlichen Repository existiert, muss verwendet werden.
Erstellen Sie ein Remote-Repository, wenn es nicht existiert
Fügen Sie das Remote-Repository dem virtuellen Repository hinzu
Bearbeiten Sie die Richtlinien des virtuellen Registrierung, um eine höhere Priorität (oder die gleiche) für das Remote-Repository zu geben. Führen Sie etwas wie aus:
Laden Sie das legitime Paket herunter, fügen Sie Ihren bösartigen Code hinzu und registrieren Sie ihn im öffentlichen Repository mit derselben Version. Jedes Mal, wenn ein Entwickler es installiert, wird er Ihres installieren!
Für weitere Informationen zur Abhängigkeitsverwirrung siehe:
Last updated
