公式のHomebrewCaskリポジトリに新しい脆弱性が存在します, 無料, macOSおよびLinuxへのアプリのインストールを可能にするオープンソースソフトウェアパッケージマネージャー.
セキュリティ上の欠陥は、4月18日にCaskのレビューで発見されました-自作キャスクとすべての自作キャスク*タップで使用されるcask-pr GitHub Action (デフォルト以外のリポジトリ) 自作組織で. バグは彼らのHackerOneプログラムで報告されました.
HomebrewCaskの脆弱性をどのように悪用できますか?
「発見された脆弱性により、攻撃者は任意のコードをキャスクに挿入し、自動的にマージすることができます。,」組織は彼らの中で言った 発表.
この脆弱性は、review-cask-prGitHubアクションのgit_diff依存関係に起因します, 検査のためにプルリクエストの差分を解析するために使用されます. 欠陥の結果として, パーサーは、問題のある行を完全に無視するようになりすます可能性があります, 悪意のあるプルリクエストを正常に承認することにつながる.
デモンストレーションプルリクエストの期間中、その逆転まで無害な変更で1つのキャスクが危険にさらされました. このインシデントのため、ユーザーは何もする必要はありません。,「アドバイザリが追加されました.
脆弱性に対抗するために何が行われたか?
問題の発見に続いて, 影響を受けるreview-cask-prGitHubアクションが無効になり、すべてのリポジトリから削除されました.
自動マージGitHubアクションが無効になり、すべてのリポジトリから削除されました, ボットが自作/キャスク*リポジトリにコミットする機能もあります.
今後, すべての自作/樽*プルリクエストには、メンテナによる手動のレビューと承認が必要です.
リポジトリはまた、新しい自作/樽のメンテナーのオンボードを支援するためにドキュメントを改善し、自作/樽を支援するために既存の自作/コアのメンテナーをトレーニングしています.
自作樽についての詳細
公式ページによると, 「Homebrewは、Appleに必要なものをインストールします (またはLinuxシステム) しませんでした。」言い換えると, Homebrewはパッケージを独自のディレクトリにインストールしてから、ファイルを/ usr/localにシンボリックリンクします.
すぐに言った, Homebrew Caskは、GUIベースのmacOSアプリケーションのコマンドラインワークフローを含むように機能を拡張するように設計されています, フォント, プラグイン, およびその他の非オープンソースソフトウェア.
の 2018, ArchLinuxのユーザーが管理するAURと呼ばれるソフトウェアリポジトリは マルウェアをホストしていることが判明. この発見は、パッケージのインストール手順の1つを変更した後に行われました。. この出来事は、Linuxユーザーがユーザー制御のリポジトリを明示的に信頼してはならないことを示しました.
セキュリティ調査により、ニックネームxeactorの悪意のあるユーザーが孤立したパッケージを変更したことが明らかになりました (アクティブなメンテナのいないソフトウェア), アクロリードと呼ばれる. 変更には、リモートサイトからスクリプトをダウンロードして実行するcurlスクリプトが含まれていました. これにより、定期的に起動するためにsystemdを再構成する永続的なソフトウェアがインストールされました.