Existe una nueva vulnerabilidad en el repositorio oficial de Homebrew Cask, un libre, administrador de paquetes de software de código abierto que permite la instalación de aplicaciones en macOS y Linux.
La falla de seguridad se descubrió el 18 de abril en la acción de GitHub review-cask-pr de Cask utilizada en los grifos de cask-cask y todos los grifos de cask-cask- *. (repositorios no predeterminados) en la organización Homebrew. El error se informó en su programa HackerOne..
¿Cómo se puede aprovechar la vulnerabilidad de Homebrew Cask??
“La vulnerabilidad descubierta permitiría a un atacante inyectar código arbitrario en un barril y fusionarlo automáticamente,”Dijo la organización en su anuncio.
La vulnerabilidad se debe a la dependencia git_diff de la acción de GitHub review-cask-pr, utilizado para analizar la diferencia de una solicitud de extracción para su inspección. Como resultado de la falla, el analizador podría falsificarse para ignorar por completo las líneas ofensivas, que lleva a aprobar con éxito una solicitud de extracción maliciosa.
„Un solo barril se vio comprometido con un cambio inofensivo durante la duración de la solicitud de extracción de demostración hasta su reversión.. Los usuarios no requieren ninguna acción debido a este incidente,"Agregó el aviso.
¿Qué se ha hecho para contrarrestar la vulnerabilidad??
Tras el descubrimiento del problema, la acción de GitHub review-cask-pr afectada se desactivó y se eliminó de todos los repositorios.
La acción automerge GitHub se deshabilitó y se eliminó de todos los repositorios, así como la capacidad de los bots de comprometerse con los repositorios de homebrew / cask *.
De aquí en adelante, todas las solicitudes de extracción de homebrew / cask * requerirán una revisión manual y la aprobación de un mantenedor.
El repositorio también está mejorando su documentación para ayudar a incorporar nuevos mantenedores de cerveza casera / barril y capacitar a los mantenedores de cerveza casera / núcleo existentes para ayudar con cerveza casera / barril..
Más acerca de Homebrew Cask
Según la página oficial, "Homebrew instala las cosas que necesita que Apple (o su sistema Linux) no lo hizo ". En otras palabras, Homebrew instala paquetes en su propio directorio y luego enlaza simbólicamente sus archivos en / usr / local.
Poco dicho, Homebrew Cask está diseñado para ampliar la funcionalidad para incluir flujos de trabajo de línea de comandos para aplicaciones macOS basadas en GUI, fuentes, plugins, y otro software de código no abierto.
En 2018, El repositorio de software mantenido por el usuario de Arch Linux llamado AUR encontrado para alojar malware. El descubrimiento se produjo después de un cambio en una de las instrucciones de instalación del paquete.. El hecho mostró que los usuarios de Linux no deben confiar explícitamente en los repositorios controlados por el usuario..
La investigación de seguridad reveló que un usuario malintencionado con el apodo xeactor modificó un paquete huérfano (software sin un mantenedor activo), llamado acroread. Los cambios incluyen una secuencia de comandos rizo que descarga y ejecuta un script desde un sitio remoto. Esto instaló un software persistente que reconfiguró systemd para comenzar periódicamente.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: