টেকসিঁড়ি রিপোর্টঃ গুগলের সফটওয়্যার ডেভেলপমেন্ট প্ল্যাটফর্ম জেরিট কোড রিভিউ-এ একটি গুরুতর নিরাপত্তা দুর্বলতা পাওয়া গেছে। এই তালিকায় রয়েছে ক্রোমিয়ামওএস-এর মতো গুরুত্বপূর্ণ প্রকল্প। এই দুর্বলতার সুযোগ নিয়ে হ্যাকাররা ক্রোমিয়ামওএস (ChromiumOS) সহ অন্তত ১৮টি গুগল প্রকল্পে ম্যালিশিয়াস কোড ইনজেক্ট করতে পারত বলে জানিয়েছেন সাইবার নিরাপত্তা সংস্থা টেনিবল (Tenable)।
দুর্বলতার প্রকৃতি ও প্রভাব:
সাইবার সিকিউরিটি গবেষকরা এই দুর্বলতা শনাক্ত করে এর নাম দিয়েছেন “জেরিস্ক্যারি” (GerritSary)। এই দুর্বলতার মাধ্যমে কোনো অ্যাটাকার জেরিট সার্ভারে এক্সেস পেলে তারা কোড রিপোজিটরি পরিবর্তন, ম্যালিসিয়াস কোড ইনজেক্ট বা সংবেদনশীল ডেটা চুরি করতে পারতেন। জেরিট (Gerrit) হল একটি ওপেন-সোর্স কোড-রিভিউ সিস্টেম যা গুগল এবং বৃহত্তর ওপেন-সোর্স কমিউনিটি ব্যবহার করে থাকে। টেনিবল ক্লাউড রিসার্চের মতে, এই দুর্বলতাটি জেরিট-এর ত্রুটিপূর্ণ অনুমতি ব্যবস্থাপনা এবং ভোটিং সিস্টেমের লেবেল হ্যান্ডলিং এর অপব্যবহারের মাধ্যমে কাজ করে। এর ফলে যেকোনো নিবন্ধিত ব্যবহারকারী গুগল প্রকল্পের কোড পরিবর্তন করতে পারতেন।
গুগলের পদক্ষেপ:
এই দুর্বলতা সম্পর্কে অবহিত হওয়ার পর গুগল দ্রুত ব্যবস্থা নিয়েছে। তারা ক্ষতিগ্রস্ত প্রকল্পগুলিতে লেবেল পার্সিস্টেন্স কনফিগারেশন পরিবর্তন করেছে, যাতে নতুন প্যাচসেটগুলির জন্য নতুন করে কোড রিভিউ এবং যাচাইকরণ প্রয়োজন হয়। এছাড়াও, ক্রোমিয়ামওএস টিম ‘addPatchSet’ অনুমতি নিবন্ধিত ব্যবহারকারীদের থেকে সরিয়ে কেবল বিশ্বস্ত অবদানকারীদের জন্য সীমাবদ্ধ করেছে।
যদিও গুগল তাদের নিজস্ব প্রকল্পগুলিকে সুরক্ষিত করেছে, টেনিবল সতর্ক করেছে যে, অন্যান্য সংস্থাগুলি যারা জেরিট ব্যবহার করে, তারাও একই ধরনের আক্রমণের ঝুঁকিতে থাকতে পারে। ‘কপি কন্ডিশনস’ এর সঠিক কনফিগারেশনের জটিলতার কারণে, অন্যান্য জেরিট ইকোসিস্টেমেও ভুল কনফিগারেশন ব্যাপক হতে পারে, যা অসংখ্য ওপেন-সোর্স এবং এন্টারপ্রাইজ প্রকল্পকে সাপ্লাই চেইন লঙ্ঘনের ঝুঁকিতে ফেলতে পারে।
ব্যবহারকারীদের জন্য পরামর্শ:
জেরিট ব্যবহারকারী সংস্থাগুলিকে তাদের প্রকল্পের অনুমতিগুলি পর্যালোচনা করে নিশ্চিত করতে হবে যে তারা এই দুর্বলতার ঝুঁকিতে নেই। সফটওয়্যার সাপ্লাই চেইনের নিরাপত্তা নিশ্চিত করা এখন অত্যন্ত গুরুত্বপূর্ণ, এমনকি প্রযুক্তি জায়ান্টদের জন্যও।
তথ্যসুত্রঃ সাইবার সিকিউরিটি নিউজ
