公开仓库哈希泄露安全事件分析

本文详细分析curl项目在GitHub公开仓库中Dockerfile文件存在的镜像哈希泄露问题,探讨潜在安全风险及开发团队对此类安全报告的处理态度和争议过程。

哈希暴露在公开仓库 | HackerOne报告 #3419617

报告概述

  • 报告ID: #3419617
  • 报告标题: Hash exposed in public repository
  • 报告对象: curl项目
  • 报告时间: 2025年11月11日 15:55 UTC
  • 披露时间: 2025年11月11日 16:15 UTC

事件详情

问题描述

skymander向curl项目提交报告,指出GitHub公开仓库中的Dockerfile文件暴露了镜像哈希值。

重现步骤: 参见: https://github.com/curl/curl/blob/master/Dockerfile

建议解决方案

  • 如需保留哈希,应将仓库设置为私有
  • 使用不带特定哈希或环境变量的官方标签

潜在影响

攻击者可能利用此哈希:

  • 查看已知漏洞
  • 查看部署环境
  • 暴露内部基础设施
  • 访问私有仓库
  • 访问特定端点

讨论时间线

4天前

  • skymander提交报告

4天前

bagder (curl工作人员) 回复: “请解释为什么这是个问题”

3天前

skymander回复: 引用参考报告:https://hackerone.com/reports/1087489

3天前

bagder关闭报告并将状态改为"不适用": “这并没有让情况变得更好。这很愚蠢。不是安全问题,根本不是问题”

3天前

bagder请求披露此报告: “根据项目的透明政策,我们希望所有报告都被披露并公开”

3天前

skymander回复: “我相信这个哈希地址可以用来查看其他应该隐藏的信息。如果您认为这个仓库和这段代码可以保持现状,我将不再深入调查;请忽略此工单”

3天前

bagder回复: “不,它不能。如果你真正理解哈希的作用和用途,而不是仅仅猜测并用这种报告浪费我们的时间,那将会很有帮助。继续前进”

3天前

bagder披露此报告

3天前

jimfuller2024 (curl工作人员) 回复: “为了完整性 - @skymander 你引用的报告是关于’Github访问令牌暴露’…与镜像哈希完全无关(在此上下文中是构建环境中使用的基础容器身份的一部分)…你的初始报告浪费了我们的时间,你引用其他随机链接浪费了我们的时间,在未演示如何操作的情况下声称’相信哈希地址可以被使用’也浪费了我们的时间。请考虑下次在提交这类垃圾报告之前犹豫一下”

报告详情

  • 严重程度: 无 (0.0)
  • 弱点: 暴露危险方法或函数
  • CVE ID: 无
  • 赏金: 无
  • 账户详情: 无
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次