官方Homebrew Cask存储库中发现了严重的安全漏洞,攻击者可能已经利用了该漏洞在安装Homebrew的失陷主机上执行任意代码。
该安全漏洞由一名日本安全研究人员RyotaK于4月18日报告给官方,该问题源于其GitHub存储库中代码变更的处理方式,从而导致了可能出现恶意代码会被自动审查和合并的情况,该漏洞已于4月19日修复。
Homebrew是一个免费的开源软件包管理器解决方案,支持在Apple的macOS操作系统与Linux操作系统上安装软件。Homebrew Cask对功能进行了扩展,使其支持可视化的macOS应用程序、字体、插件和其他非开源软件的命令行工作流。
Homebrew的Markus Reiter表示:“本次发现的漏洞使攻击者能够将任意代码注入进代码库并自动合并”,“由于GitHub的review-cask-pr动作中的git_diff依赖项存在缺陷,该动作用于解析提交PR的diff检查。受缺陷影响,解析器可能会完全忽略某些代码,从而导致恶意PR会被成功合并”。
直白点说,该缺陷意味着攻击者可以将恶意代码注入到Homebrew Cask存储库中,且不经过任何审核就能完成分支合并。
研究人员提交了相应的 POC 来进行漏洞证明。根据调查结果,Homebrew还删除了名为“automerge”的自动合并GitHub Action动作,并从所有易受攻击的存储库中删除了“review-cask-pr”的GitHub Action动作。
Bot提交到homebrew/cask*存储库的功能也已被删除,所有PR都需要维护人员进行手动审查和批准。
“如果漏洞被恶意利用,会造成极其大的影响”,研究人员表示:“我们强烈感受到需要对集中式的生态系统进行安全审核”。
参考来源:https://thehackernews.com/2021/04/critical-rce-bug-found-in-homebrew.html
新闻标题:小心你的mac和Linux,Homebrew软件包管理器中发现了RCE漏洞
转载源于:http://www.shufengxianlan.com/qtweb/news26/330626.html
成都网站建设公司_创新互联,为您提供品牌网站制作、全网营销推广、动态网站、面包屑导航、ChatGPT、搜索引擎优化
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联