Une nouvelle vulnérabilité existe dans le référentiel officiel de Homebrew Cask, un libre, gestionnaire de packages logiciels open-source permettant l'installation d'applications sur macOS et Linux.
La faille de sécurité a été découverte le 18 avril dans le test-cask-pr GitHub Action de Cask utilisé sur le homebrew-cask et tous les robinets homebrew-cask- * (référentiels non par défaut) dans l'organisation Homebrew. Le bogue a été signalé sur leur programme HackerOne.
Comment exploiter la vulnérabilité Homebrew Cask?
«La vulnérabilité découverte permettrait à un attaquant d'injecter du code arbitraire dans un cask et de le faire fusionner automatiquement,”A déclaré l'organisation dans leur annonce.
La vulnérabilité provient de la dépendance git_diff de l'action review-cask-pr GitHub, utilisé pour analyser le différentiel d'une demande d'extraction à des fins d'inspection. En raison de la faille, l'analyseur pourrait être usurpé en ignorant complètement les lignes incriminées, conduisant à l'approbation réussie d'une pull request malveillante.
„Un seul cask a été compromis avec un changement inoffensif pendant la durée de la demande de tirage de démonstration jusqu'à son inversion. Aucune action n'est requise de la part des utilisateurs en raison de cet incident,"L'avertissement ajouté.
Ce qui a été fait pour contrer la vulnérabilité?
Suite à la découverte du problème, l'action GitHub review-cask-pr affectée a été désactivée et supprimée de tous les référentiels.
L'action d'automerge GitHub a été désactivée et supprimée de tous les référentiels, ainsi que la possibilité pour les bots de s'engager dans les référentiels homebrew / cask *.
À partir de maintenant, toutes les demandes d'extraction homebrew / cask * nécessiteront un examen manuel et l'approbation d'un responsable.
Le référentiel améliore également sa documentation pour aider à intégrer les nouveaux mainteneurs homebrew / cask et former les mainteneurs homebrew / core existants pour aider avec homebrew / cask.
En savoir plus sur Homebrew Cask
Selon la page officielle, "Homebrew installe tout ce dont vous avez besoin et Apple (ou votre système Linux) non. » Autrement dit, Homebrew installe les packages dans leur propre répertoire, puis lie leurs fichiers dans / usr / local.
Peu dit, Homebrew Cask est conçu pour étendre les fonctionnalités afin d'inclure des flux de travail de ligne de commande pour les applications macOS basées sur l'interface graphique, polices, plugins, et autres logiciels non open source.
Dans 2018, Le référentiel de logiciels Arch Linux géré par l'utilisateur appelé AUR était trouvé pour héberger des logiciels malveillants. La découverte est intervenue après une modification de l'une des instructions d'installation du package. L'événement a montré que les utilisateurs Linux ne devraient pas explicitement faire confiance aux référentiels contrôlés par l'utilisateur.
L'enquête de sécurité a révélé qu'un utilisateur malveillant avec le pseudo xeactor avait modifié un package orphelin (logiciel sans mainteneur actif), appelé acroread. Les modifications comprenaient un script que boucle téléchargements et exécute un script à partir d'un site distant. Cela a installé un logiciel persistant qui a reconfiguré systemd afin de démarrer périodiquement.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: