2023 年 1 月 11 日,我们收到 MinecraftOnline 的联系,告知他们在一些仓库中发现了两个异常且可疑的 Gradle wrapper JAR 文件。这些 wrapper 是由 MinecraftOnline 的一位新贡献者更新的。
我们对这些 JAR 文件进行了分析,并将在下面描述我们的发现。我们确定其中一个漏洞是专门针对 MinecraftOnline 项目的攻击。
如果您对所有细节不感兴趣,请立即跳转到我们的配套博客,了解如何保护您的项目或您作为开发者免受类似攻击。
我们的分析首先确认两个 JAR 文件的 SHA256 校验和与任何已知有效的 Gradle Wrapper 校验和不匹配。
| ℹ️ 2025 年 6 月 26 日更新 |
|---|
| wrapper 验证 GitHub action 的链接已修复。 |
我们最近的安全报告显示,针对构建过程的供应链攻击通过 Gradle Wrapper 实际存在。这篇博客文章解释了如何保护您的项目或您作为开发者免受类似攻击。
构建过程,根据设计,执行代码。构建过程的所有组件都带有其自身的风险。
2022 年 8 月 16 日,Gradle 插件门户和 Gradle Discourse 论坛受到了一次安全事件的影响,该事件可能导致部分 Gradle 社区成员的个人数据暴露。
其他托管在gradle.org、gradle.com或其他地方的服务未受影响。
一个授予访问数据库备份的 Amazon Web Services 密钥在 Git 提交中暴露,其中包含一部分 Gradle 插件门户和 Discourse 论坛用户的个人信息。该密钥暴露了两小时后被撤销。
我们认为暴露导致未经授权的数据访问的可能性不大,但我们正在采取行动并出于谨慎和透明的考虑通知受影响的个人。
在流行的 Apache Log4j 日志库中发现了一个关键的远程代码执行 (RCE) 漏洞,影响版本 2.0 到 2.14.1(包括)。此漏洞影响了大量基于 JVM 的系统。有关漏洞本身的更多信息,请参见CVE-2021-44228。
更新(2021 年 12 月 22 日):自第一篇文章发布以来,又发现了另外两个漏洞 - CVE-2021-45046 和 CVE-2021-45105 - 因此请务必仔细阅读不同部分以获取更新的说明。
此漏洞正在被积极利用。所有 Gradle 用户都应评估其软件项目是否存在漏洞,并在必要时尽快更新到Log4j 2.17.0 或更高版本。我们已在下方提供说明,说明如何识别和...
2020 年 3 月 4 日,我们收到了一份安全漏洞报告。这个问题可能允许获得授权的人员在拥有发布插件的构建日志访问权限的情况下覆盖插件门户上的插件工件。经过彻底调查,我们发现没有工件被恶意覆盖。
作为回应,我们发布了 com.gradle.plugin-publish 插件的新版本,其中包含一个更新以缓解此安全漏洞。
请将 com.gradle.plugin-publish 插件升级到 0.11.0 版本。旧版本的 com.gradle.plugin-publish 插件将不再工作。如果您不向 插件门户发布插件,您将不必...
| ℹ️ 2025 年 6 月 26 日更新 |
|---|
| wrapper 验证 GitHub action 的链接已修复。 |
我们很荣幸地宣布发布新的Gradle Wrapper Validation GitHub Action。
gradle-wrapper.jar 是一个可执行代码的二进制大对象,已提交到将近 280 万个 GitHub 仓库中。
在 GitHub 上搜索,您可以找到许多标题有用的拉取请求 (PR),例如“更新到 Gradle xxx”。其中许多 PR 是由维护项目组织以外的个人贡献的。
维护者是...
从 2020 年 1 月开始,Gradle 服务将仅响应使用 HTTPS 发送的请求。从那时起,所有使用 HTTP 发送的请求都将被拒绝,所有使用非安全 HTTP 协议的 Gradle URL 进行构建和工件镜像都将失败。
如果您通过自己的工件服务器(如 Artifactory 或 Nexus)代理我们的服务,则需要确保更新镜像配置,使其使用 HTTPS 而不是 HTTP。
此更改将影响以下服务。
默认情况下,Gradle 构建工具在从插件门户解析插件时使用 HTTPS。如果您不声明自定义插件仓库,则应该不会受到影响。
如果您的组织...
