Der findes en ny sårbarhed i det officielle Homebrew Cask-lager, en gratis, open source softwarepakkehåndtering, der tillader installation af apps på macOS og Linux.
Sikkerhedsfejlen blev opdaget den 18. april i Cask's review-cask-pr GitHub Action brugt på homebrew-cask og alle homebrew-cask- * haner (ikke-standardopbevaringssteder) i Homebrew-organisationen. Fejlen blev rapporteret på deres HackerOne-program.
Hvordan kan Homebrew Cask-sårbarheden udnyttes?
”Den opdagede sårbarhed ville gøre det muligt for en hacker at injicere vilkårlig kode i et fad og få det flettet automatisk,”Sagde organisationen i deres bekendtgørelse.
Sårbarheden stammer fra git_diff-afhængigheden af review-cask-pr GitHub Action, bruges til at analysere en trækningsanmodnings diff for inspektion. Som et resultat af fejlen, parseren kunne spoofes til fuldstændig at ignorere de fornærmende linjer, hvilket fører til en vellykket godkendelse af en ondsindet pullanmodning.
„Et enkelt fad blev kompromitteret med en harmløs ændring i løbet af demonstrations-pull-anmodningen, indtil den blev vendt. Ingen handling kræves af brugerne på grund af denne hændelse,“Den rådgivende tilføjet.
Hvad er der gjort for at modvirke sårbarheden?
Efter opdagelsen af problemet, den berørte review-cask-pr GitHub Action blev deaktiveret og fjernet fra alle arkiver.
Automerge GitHub Action blev deaktiveret og fjernet fra alle arkiver, såvel som bots evne til at forpligte sig til homebrew / cask * repositories.
Fra nu af, alle homebrew / cask * pull-anmodninger kræver en manuel gennemgang og godkendelse af en vedligeholder.
Datalageret forbedrer også sin dokumentation for at hjælpe ombord nye homebrew / cask vedligeholdere og træne eksisterende homebrew / core vedligeholdere til at hjælpe med homebrew / cask.
Mere om Homebrew Cask
Ifølge den officielle side, ”Homebrew installerer de ting, du har brug for, til Apple (eller dit Linux-system) gjorde det ikke. ” Med andre ord, Homebrew installerer pakker til deres egen bibliotek og linker derefter deres filer til / usr / local.
Kort sagt, Homebrew Cask er designet til at udvide funktionaliteten til at omfatte kommandolinjearbejdsgange til GUI-baserede macOS-applikationer, skrifttyper, plugins, og anden ikke-open source-software.
I 2018, Arch Linux brugervedligeholdt softwarelager kaldet AUR var fundet at være vært for malware. Opdagelsen kom efter en ændring i en af installationsinstruktionerne til pakken. Hændelsen viste, at Linux-brugere ikke eksplicit skulle stole på brugerstyrede arkiver.
Sikkerhedsundersøgelsen afslørede, at en ondsindet bruger med kaldenavnet xeactor ændrede en forældreløs pakke (software uden en aktiv vedligeholder), kaldes acroread. Ændringerne omfattede en krølle script, der henter og kører et script fra et fjernt sted. Dette installerede en vedvarende software, der omkonfigurerede systemd for at starte med jævne mellemrum.