BTC: 58581 USD
ETH: 1916 USD
BCH: 532 USD
LTC: 196 USD
DASH: 222 USD
Перейти к содержанию


Авторизация  
speed_monkey

В менеджере пакетов Homebrew обнаружена RCE-уязвимость

Рекомендуемые сообщения

Японский исследователь в области безопасности, использующий псевдоним RyotaK, https://brew.sh/2021/04/21/security-incident-disclosure/ обнаружил критическую уязвимость в официальном репозитории Homebrew Cask. Ее эксплуатация позволяла злоумышленнику выполнить произвольный код на компьютерах пользователей c установленным ПО Homebrew.

Homebrew — бесплатное решение для управления пакетами программного обеспечения с открытым исходным кодом, позволяющее устанавливать программное обеспечение на устройствах под управлением ОС macOS и Linux. Homebrew Cask расширяет функциональные возможности, включая рабочие процессы командной строки для приложений macOS на основе графического интерфейса пользователя, шрифтов, плагинов и другого программного обеспечения без открытого исходного кода.

Проблема связана с обработкой изменений кода в репозитории на GitHub, что позволяло автоматически рассматривать и утверждать вредоносные pull-запросы

«Уязвимость позволяет злоумышленнику внедрить произвольный код в контейнер и автоматически объединить его. Это происходит из-за проблемы в зависимости git_diff действия GitHub review-cask-pr, которое используется для синтаксического анализа различий в pull-запросе для проверки. Синтаксический анализатор можно обмануть, и он полностью проигнорирует вредоносные строки, что приведет к успешному одобрению вредоносного pull-запроса», — пояснили представители Homebrew.

Исследователь также продемонстрировал PoC-код для эксплуатации уязвимости. Разработчики Homebrew удалили автоматическое объединение кода в контейнере на GitHub, а также отключили и удалили действие review-cask-pr из всех уязвимых репозиториев.

Кроме того, для ботов была удалена возможность фиксации в репозиториях homebrew/cask*, и в дальнейшем все pull-запросы потребуют ручного просмотра и утверждения.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×
×
  • Создать...