Esiste una nuova vulnerabilità nel repository ufficiale Homebrew Cask, un libero, gestore di pacchetti software open source che consente l'installazione di app su macOS e Linux.
Il difetto di sicurezza è stato scoperto il 18 aprile nell'azione GitHub review-cask-pr di Cask utilizzata sull'homebrew-cask e su tutti i rubinetti homebrew-cask- * (archivi non predefiniti) nell'organizzazione Homebrew. Il bug è stato segnalato sul loro programma HackerOne.
Come si può sfruttare la vulnerabilità di Homebrew Cask?
“La vulnerabilità scoperta consentirebbe a un utente malintenzionato di iniettare codice arbitrario in un barile e di farlo fondere automaticamente,"Ha detto l'organizzazione nel loro annuncio.
La vulnerabilità deriva dalla dipendenza git_diff dell'azione review-cask-pr GitHub, utilizzato per analizzare il diff di una richiesta pull per l'ispezione. A causa del difetto, il parser potrebbe essere simulato in modo da ignorare completamente le linee offensive, portando ad approvare con successo una richiesta pull dannosa.
„Una singola botte è stata compromessa con un cambio innocuo per la durata della richiesta di pull dimostrativa fino al suo annullamento. Nessuna azione è richiesta dagli utenti a causa di questo incidente,"Ha aggiunto l'avviso.
Cosa è stato fatto per contromisurare la vulnerabilità?
A seguito della scoperta del problema, l'azione GitHub review-cask-pr interessata è stata disabilitata e rimossa da tutti i repository.
L'azione GitHub automerge è stata disabilitata e rimossa da tutti i repository, così come la possibilità per i bot di impegnarsi in repository homebrew / cask *.
Da ora in poi, tutte le richieste pull homebrew / cask * richiederanno una revisione manuale e l'approvazione da parte di un manutentore.
Il repository sta anche migliorando la sua documentazione per aiutare a integrare nuovi manutentori homebrew / cask e addestrare i manutentori homebrew / core esistenti per aiutare con homebrew / cask.
Maggiori informazioni su Homebrew Cask
Secondo la pagina ufficiale, "Homebrew installa le cose di cui hai bisogno che Apple (o il tuo sistema Linux) no. " In altre parole, Homebrew installa i pacchetti nella propria directory e quindi crea collegamenti simbolici ai file in / usr / local.
Poco detto, Homebrew Cask è progettato per estendere la funzionalità per includere flussi di lavoro da riga di comando per applicazioni macOS basate su GUI, font, plugins, e altri software non open source.
In 2018, Il repository di software gestito dagli utenti di Arch Linux chiamato AUR era trovato per ospitare malware. La scoperta è avvenuta dopo una modifica in una delle istruzioni di installazione del pacchetto. L'evento ha mostrato che gli utenti Linux non dovrebbero fidarsi esplicitamente dei repository controllati dagli utenti.
L'indagine sulla sicurezza ha rivelato che un utente malintenzionato con il nickname xeactor ha modificato un pacchetto orfano (software senza un mantenitore attivo), chiamato acroread. I cambiamenti inclusi uno script ricciolo che scarica e esegue uno script da un sito remoto. Questo ha installato un software persistente che ha riconfigurato systemd per avviarsi periodicamente.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: