Er is een nieuwe kwetsbaarheid in de officiële Homebrew Cask-repository, een gratis, open-source softwarepakketbeheerder waarmee apps op macOS en Linux kunnen worden geïnstalleerd.
De beveiligingsfout werd ontdekt op 18 april in Cask's review-cask-pr GitHub Action die werd gebruikt op het homebrew-cask en alle homebrew-cask- * kranen (niet-standaard opslagplaatsen) in de Homebrew-organisatie. De bug is gerapporteerd in hun HackerOne-programma.
Hoe kan de kwetsbaarheid van Homebrew Cask worden misbruikt?
“Door de ontdekte kwetsbaarheid zou een aanvaller willekeurige code in een vat kunnen injecteren en deze automatisch laten samenvoegen,”Zei de organisatie in hun Aankondiging.
De kwetsbaarheid komt voort uit de git_diff-afhankelijkheid van de review-cask-pr GitHub-actie, wordt gebruikt om de diff van een pull-verzoek te analyseren voor inspectie. Als gevolg van de fout, de parser kan worden vervalst door de beledigende regels volledig te negeren, wat leidt tot het succesvol goedkeuren van een kwaadaardig pull-verzoek.
„Een enkel vat werd gecompromitteerd met een onschadelijke verandering voor de duur van het demonstratieverzoek tot de omkering. Vanwege dit incident hoeven gebruikers geen actie te ondernemen,'Het advies toegevoegd.
Wat is er gedaan om het beveiligingslek tegen te gaan?
Na de ontdekking van het probleem, de getroffen review-cask-pr GitHub-actie is uitgeschakeld en verwijderd uit alle opslagplaatsen.
De automerge GitHub-actie is uitgeschakeld en verwijderd uit alle opslagplaatsen, evenals de mogelijkheid voor bots om zich te committeren aan homebrew / cask * -repository's.
Vanaf nu, alle homebrew / cask * pull-aanvragen vereisen een handmatige beoordeling en goedkeuring door een onderhouder.
De repository is ook de documentatie aan het verbeteren om nieuwe homebrew / cask-beheerders aan boord te helpen en bestaande homebrew / core-beheerders te trainen om te helpen met homebrew / cask.
Meer over Homebrew Cask
Volgens de officiële pagina, “Homebrew installeert de dingen die je nodig hebt, die Apple (of uw Linux-systeem) niet. " Met andere woorden, Homebrew installeert pakketten in hun eigen map en koppelt hun bestanden vervolgens aan een symbolische koppeling naar / usr / local.
Kort gezegd, Homebrew Cask is ontworpen om de functionaliteit uit te breiden met opdrachtregelworkflows voor GUI-gebaseerde macOS-applicaties, fonts, plugins, en andere niet-open source software.
In 2018, Arch Linux door de gebruiker onderhouden software-repository genaamd AUR was gevonden om malware te hosten. De ontdekking kwam na een wijziging in een van de installatie-instructies voor het pakket. De gebeurtenis toonde aan dat Linux-gebruikers niet expliciet door gebruikers gecontroleerde repositories moeten vertrouwen.
Uit het beveiligingsonderzoek is gebleken dat een kwaadwillende gebruiker met de bijnaam xeactor een verweesd pakket heeft gewijzigd (software zonder een actieve onderhouder), genaamd acroread. De wijzigingen omvatten een krul script dat downloads en loopt een script van een externe site. Dit installeerde een persistente software die het systeem opnieuw configureerde om periodiek te starten.