Problema potencial en el repositorio público de Maven

Navega tus respuestas
0

Problema

Esta mañana encontré que, lo que pensé que era uno de nuestros artefactos patentados, se había publicado en un repositorio público:

enlace

Si hace clic en el enlace, verá que hay miles de artefactos de compañías como Adobe, Amazon, AOL, BP, ... al menos algunos de los cuales no parecen haber sido destinados al público.

Navegar hacia abajo y descargar cualquier artefacto, por ejemplo,

enlace

siempre produce un archivo idéntico de 1.33kb que no es en realidad un artefacto de software sino un archivo HTML, y que se publicó en el repositorio por primera vez hace unos 170 días.

Lo que también es extraño es que este repositorio debería ser un espejo / caché de otro repositorio, pero este otro repositorio en realidad no contiene estos artefactos,

La situación no parece ser tan mala como pensaba, ya que parece que no se ha filtrado ninguna propiedad intelectual, pero nadie estará realmente contento de que los nombres de sus proyectos internos sean públicos.

Pregunta

¿Puedes ayudarme a darle sentido a esto? ¿Podría ser simplemente un error en una versión del shell Gradle o en Artifactory? ¿Podría ser un malware relacionado?

    
pregunta Tilo 28.02.2014 - 20:19
fuente

1 respuesta

4

Codehaus fue hackeado, por lo que repo.grails.org, que lo proxies, se estaba llenando de basura. Lo limpiamos, ajustamos la política de suma de comprobación para fallar la recuperación si no existe una suma de comprobación válida en el repositorio remoto (Codehaus) y habilitamos la validación de la integridad de los archivos jar.     

respondido por el JBaruch 28.02.2014 - 21:22
fuente

Lea otras preguntas en las etiquetas

¿Cómo asegurar el FTP de mi sitio web? Cómo se usa el campo del puerto de origen en la regla del firewall