小心你的 macOS ! Homebrew 软件包管理器中发现了RCE漏洞

2021年4月25日 52点热度 0人点赞 0条评论

%title插图%num

官方Homebrew Cask存储库中发现了严重的安全漏洞,攻击者可能已经利用了该漏洞在安装Homebrew的失陷主机上执行任意代码。

该安全漏洞由一名日本安全研究人员RyotaK于4月18日报告给官方,该问题源于其GitHub存储库中代码变更的处理方式,从而导致了可能出现恶意代码会被自动审查和合并的情况,该漏洞已于4月19日修复。

Homebrew是一个免费的开源软件包管理器解决方案,支持在Apple的macOS操作系统与Linux操作系统上安装软件。Homebrew Cask对功能进行了扩展,使其支持可视化的macOS应用程序、字体、插件和其他非开源软件的命令行工作流。

Homebrew的Markus Reiter表示:“本次发现的漏洞使攻击者能够将任意代码注入进代码库并自动合并”,“由于GitHub的review-cask-pr动作中的git_diff依赖项存在缺陷,该动作用于解析提交PR的diff检查。受缺陷影响,解析器可能会完全忽略某些代码,从而导致恶意PR会被成功合并”。

直白点说,该缺陷意味着攻击者可以将恶意代码注入到Homebrew Cask存储库中,且不经过任何审核就能完成分支合并

研究人员提交了相应的 POC 来进行漏洞证明。根据调查结果,Homebrew还删除了名为“automerge”的自动合并GitHub Action动作,并从所有易受攻击的存储库中删除了“review-cask-pr”的GitHub Action动作。

%title插图%num

Bot提交到homebrew/cask*存储库的功能也已被删除,所有PR都需要维护人员进行手动审查和批准。“如果漏洞被恶意利用,会造成极其大的影响”,研究人员表示:“我们强烈感受到需要对集中式的生态系统进行安全审核”。

Admin

这个人很懒,什么都没留下

文章评论