Existe uma nova vulnerabilidade no repositório oficial do Homebrew Cask, um grátis, gerenciador de pacotes de software de código aberto permitindo a instalação de aplicativos no macOS e Linux.
A falha de segurança foi descoberta em 18 de abril no GitHub Action do Cask para revisão do barril usado no barril de homebrew e em todas as torneiras do barril de homebrew- * (repositórios não padrão) na organização Homebrew. O bug foi relatado em seu programa HackerOne.
Como a vulnerabilidade do Homebrew Cask pode ser explorada?
“A vulnerabilidade descoberta permitiria a um invasor injetar código arbitrário em um barril e fazer com que fosse mesclado automaticamente,”Disse a organização em seu anúncio.
A vulnerabilidade decorre da dependência git_diff da ação review-cask-pr do GitHub, usado para analisar a comparação de uma solicitação pull para inspeção. Como resultado da falha, o analisador pode ser falsificado e ignorar completamente as linhas ofensivas, levando à aprovação bem-sucedida de uma solicitação de pull maliciosa.
„Um único barril foi comprometido com uma mudança inofensiva para a duração do pedido de demonstração de tração até sua reversão. Nenhuma ação é exigida pelos usuários devido a este incidente,“O conselho acrescentou.
O que foi feito para contrabalançar a vulnerabilidade?
Após a descoberta do problema, a ação do GitHub review-cask-pr afetada foi desativada e removida de todos os repositórios.
A ação automerge do GitHub foi desabilitada e removida de todos os repositórios, bem como a capacidade dos bots de se comprometerem com os repositórios homebrew / cask *.
De agora em diante, todas as solicitações de homebrew / cask * pull exigirão uma revisão manual e aprovação de um mantenedor.
O repositório também está melhorando sua documentação para ajudar a bordo de novos mantenedores de homebrew / barril e treinando os mantenedores de homebrew / core existentes para ajudar com homebrew / barril.
Mais sobre Homebrew Cask
De acordo com a página oficial, “Homebrew instala tudo o que você precisa (ou seu sistema Linux) não fez. ” Em outras palavras, O Homebrew instala pacotes em seu próprio diretório e, em seguida, vincula simbolicamente seus arquivos em / usr / local.
disse brevemente, O Homebrew Cask foi projetado para estender a funcionalidade para incluir fluxos de trabalho de linha de comando para aplicativos macOS baseados em GUI, fontes, plugins, e outro software de código não aberto.
No 2018, O repositório de software mantido pelo usuário do Arch Linux chamado AUR era encontrado para hospedar malware. A descoberta veio após uma mudança em uma das instruções de instalação do pacote. O acontecimento mostrou que os usuários Linux não devem confiar explicitamente em repositórios controlados por usuários.
A investigação de segurança revelou que um usuário malicioso com o apelido xeactor modificou um pacote órfão (software sem um mantenedor ativa), chamado acroread. As mudanças incluíram um script onda que baixa e executa um script a partir de um local remoto. Isso instalou um software persistente que reconfigurou o systemd para iniciar periodicamente.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: