Im offiziellen Homebrew Cask-Repository besteht eine neue Sicherheitsanfälligkeit, eine kostenlose, Open-Source-Softwarepaket-Manager, der die Installation von Apps unter MacOS und Linux ermöglicht.
Die Sicherheitslücke wurde am 18. April in Cask's Review-Cask-PR GitHub Action entdeckt, die für das Homebrew-Cask und alle Homebrew-Cask-Taps verwendet wurde (Nicht standardmäßige Repositorys) in der Homebrew-Organisation. Der Fehler wurde in ihrem HackerOne-Programm gemeldet.
Wie kann die Sicherheitsanfälligkeit in Homebrew Cask ausgenutzt werden??
„Die entdeckte Sicherheitsanfälligkeit würde es einem Angreifer ermöglichen, beliebigen Code in ein Fass einzufügen und ihn automatisch zusammenführen zu lassen,Sagte die Organisation in ihrem Ankündigung.
Die Sicherheitsanfälligkeit ergibt sich aus der git_diff-Abhängigkeit der GitHub-Aktion review-cask-pr, wird verwendet, um das Diff einer Pull-Anforderung zur Überprüfung zu analysieren. Infolge des Fehlers, Der Parser könnte gefälscht werden, um die fehlerhaften Zeilen vollständig zu ignorieren, Dies führt dazu, dass eine böswillige Pull-Anfrage erfolgreich genehmigt wird.
„Ein einzelnes Fass wurde für die Dauer der Demonstrationszuganforderung bis zu ihrer Umkehrung mit einer harmlosen Änderung kompromittiert. Aufgrund dieses Vorfalls müssen Benutzer keine Maßnahmen ergreifen,“Das Advisory fügte hinzu.
Was wurde unternommen, um der Sicherheitsanfälligkeit entgegenzuwirken??
Nach der Entdeckung des Problems, Die betroffene GitHub-Aktion "review-cask-pr" wurde deaktiviert und aus allen Repositorys entfernt.
Die automatische GitHub-Aktion wurde deaktiviert und aus allen Repositorys entfernt, sowie die Möglichkeit für Bots, sich auf Homebrew / Cask * -Repositorys festzulegen.
Von jetzt an, Alle Homebrew / Cask * Pull-Anfragen erfordern eine manuelle Überprüfung und Genehmigung durch einen Betreuer.
Das Repository verbessert auch seine Dokumentation, um neue Homebrew- / Fass-Betreuer an Bord zu unterstützen, und schult vorhandene Homebrew- / Core-Betreuer, um bei Homebrew / Fass zu helfen.
Mehr über Homebrew Cask
Laut der offiziellen Seite, „Homebrew installiert das Zeug, das Sie von Apple benötigen (oder Ihr Linux-System) nicht. " Mit anderen Worten, Homebrew installiert Pakete in ihrem eigenen Verzeichnis und verknüpft ihre Dateien dann mit / usr / local.
Kurz gesagt, Homebrew Cask wurde entwickelt, um die Funktionalität um Befehlszeilen-Workflows für GUI-basierte MacOS-Anwendungen zu erweitern, Schriftarten, Plugins, und andere nicht Open Source Software.
In 2018, Arch Linux Benutzer gepflegtes Software-Repository namens AUR war gefunden, um Malware zu hosten. Die Entdeckung erfolgte nach einer Änderung in einer der Installationsanweisungen für das Paket. Das Geschehen zeigte, dass Linux-Benutzer benutzergesteuerten Repositorys nicht explizit vertrauen sollten.
Die Sicherheitsuntersuchung ergab, dass ein böswilliger Benutzer mit dem Spitznamen xeactor ein verwaistes Paket geändert hat (Software ohne einen aktiven Maintainer), genannt acroread. Die Änderungen enthalten eine Locke-Skript, das Downloads und führt ein Skript von einem entfernten Standort. Dadurch wurde eine persistente Software installiert, die systemd neu konfigurierte, um regelmäßig zu starten.