Casa > cibernético Notícias > Repositório Homebrew Cask para macOS e Linux contém vulnerabilidade crítica
CYBER NEWS

O repositório Homebrew Cask para macOS e Linux contém vulnerabilidade crítica

Vulnerabilidade do casco caseiroExiste uma nova vulnerabilidade no repositório oficial do Homebrew Cask, um grátis, gerenciador de pacotes de software de código aberto permitindo a instalação de aplicativos no macOS e Linux.

A falha de segurança foi descoberta em 18 de abril no GitHub Action do Cask para revisão do barril usado no barril de homebrew e em todas as torneiras do barril de homebrew- * (repositórios não padrão) na organização Homebrew. O bug foi relatado em seu programa HackerOne.

Como a vulnerabilidade do Homebrew Cask pode ser explorada?

“A vulnerabilidade descoberta permitiria a um invasor injetar código arbitrário em um barril e fazer com que fosse mesclado automaticamente,”Disse a organização em seu anúncio.




A vulnerabilidade decorre da dependência git_diff da ação review-cask-pr do GitHub, usado para analisar a comparação de uma solicitação pull para inspeção. Como resultado da falha, o analisador pode ser falsificado e ignorar completamente as linhas ofensivas, levando à aprovação bem-sucedida de uma solicitação de pull maliciosa.

„Um único barril foi comprometido com uma mudança inofensiva para a duração do pedido de demonstração de tração até sua reversão. Nenhuma ação é exigida pelos usuários devido a este incidente,“O conselho acrescentou.

O que foi feito para contrabalançar a vulnerabilidade?

Após a descoberta do problema, a ação do GitHub review-cask-pr afetada foi desativada e removida de todos os repositórios.

A ação automerge do GitHub foi desabilitada e removida de todos os repositórios, bem como a capacidade dos bots de se comprometerem com os repositórios homebrew / cask *.

De agora em diante, todas as solicitações de homebrew / cask * pull exigirão uma revisão manual e aprovação de um mantenedor.

O repositório também está melhorando sua documentação para ajudar a bordo de novos mantenedores de homebrew / barril e treinando os mantenedores de homebrew / core existentes para ajudar com homebrew / barril.
Mais sobre Homebrew Cask

De acordo com a página oficial, “Homebrew instala tudo o que você precisa (ou seu sistema Linux) não fez. ” Em outras palavras, O Homebrew instala pacotes em seu próprio diretório e, em seguida, vincula simbolicamente seus arquivos em / usr / local.

disse brevemente, O Homebrew Cask foi projetado para estender a funcionalidade para incluir fluxos de trabalho de linha de comando para aplicativos macOS baseados em GUI, fontes, plugins, e outro software de código não aberto.


No 2018, O repositório de software mantido pelo usuário do Arch Linux chamado AUR era encontrado para hospedar malware. A descoberta veio após uma mudança em uma das instruções de instalação do pacote. O acontecimento mostrou que os usuários Linux não devem confiar explicitamente em repositórios controlados por usuários.

A investigação de segurança revelou que um usuário malicioso com o apelido xeactor modificou um pacote órfão (software sem um mantenedor ativa), chamado acroread. As mudanças incluíram um script onda que baixa e executa um script a partir de um local remoto. Isso instalou um software persistente que reconfigurou o systemd para iniciar periodicamente.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo