公开仓库镜像哈希暴露安全争议

本文记录了HackerOne平台上关于curl项目Dockerfile中镜像哈希值公开暴露的安全报告。报告者认为哈希可能泄露部署环境和内部架构,但项目维护者认为这并非安全问题并最终关闭了报告。

公开仓库中的哈希暴露 | HackerOne报告 #3419617

报告详情

skymander 向curl项目提交报告 - 17小时前

一个镜像哈希在Github上公开暴露

重现步骤: 参见 » https://github.com/curl/curl/blob/master/Dockerfile

解决方案:

  • 如果想保留哈希,仓库应设为私有
  • 使用没有特定哈希或环境变量的官方标签

影响 攻击者可以利用此哈希:

  • 查看已知漏洞
  • 查看部署环境
  • 暴露内部基础设施
  • 访问私有仓库
  • 访问特定端点

讨论时间线

bagder (curl工作人员) 17小时前

请解释为什么这是个问题

skymander 16小时前

嘿 @bagder 我参考的报告是:https://hackerone.com/reports/1087489

bagder (curl工作人员) 16小时前

这并没有让情况变得更好。这很愚蠢。不是安全问题,根本就不是问题。

bagder (curl工作人员) 16小时前

根据项目的透明政策,我们希望所有报告都被公开披露。

skymander 16小时前

我相信这个哈希地址可以用来查看其他应该隐藏的信息。 如果您认为这个仓库和这些代码可以保持现状,我将不再深入调查;请忽略此工单。

bagder (curl工作人员) 16小时前

不,它不能。如果你真的尝试理解哈希的作用和用途,而不是仅仅猜测并用这个报告浪费我们的时间,那将会很有帮助。继续前进。

bagder (curl工作人员) 16小时前

披露此报告。

jimfuller2024 (curl工作人员) 16小时前

为了完整性 - @skymander 你引用的报告是关于"Github访问令牌暴露"…与镜像哈希(在此上下文中是构建环境中使用的基础容器身份的一部分)完全没有关系…你的初始报告浪费了我们的时间,你引用一些随机其他链接浪费了我们的时间,在没有演示如何操作的情况下说你"相信哈希地址可以被使用"浪费了我们的时间。请考虑下次在提交这种垃圾之前犹豫一下。

报告元数据

  • 报告时间: 2025年11月11日 15:55 UTC
  • 报告者: skymander
  • 报告对象: curl
  • 报告ID: #3419617
  • 严重程度: 无 (0.0)
  • 披露时间: 2025年11月11日 16:15 UTC
  • 弱点: 暴露危险方法或函数
  • CVE ID: 无
  • 赏金: 无
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次