开源包管理器Homebrew被曝 RCE,影响 macOS 和 Linux 系统
编译:奇安信代码卫士
4月18日,日本安全研究员 RyotaK 将该漏洞告知维护人员。该漏洞源自 GitHub 仓库中代码变更被处理的方式,从而导致恶意 pull 请求即被提议的变更被自动审计和批准。4月19日该漏洞修复。
Homebrew 是一款开源的软件包管理器解决方案,可在苹果的 macOS 操作系统以及 Linux 操作系统上安装。Homebrew Cask 将该功能扩展,可包含基于 macOS 应用程序、字体、插件和其它非开源软件的命令行工作流。
Homebrew 工作人员 Markus Reiter 指出,“所发现漏洞可导致攻击者将任意代码注入 cask,并自动将其合并。这是因为 review-cask-pr GitHub Action(用于解析 pull 请求的 diff 进行审查)的 git_diff 依赖关系中存在一个缺陷,导致解析器可被欺骗,从而完全忽视恶意行,导致恶意 pull 请求收到批准。”换句话说,该缺陷意味着在无需审计和批准的情况下即可将恶意代码注入 Cask 仓库中。
研究员 RyotaK 还提交了漏洞的相关 PoC,之后漏洞得以修复。Homebrew 还删除了“自动合并” GitHub Action 并从所有易受攻击仓库中禁用并删除了 “review-cask-pr” GitHub Action。
另外,现已删除僵尸网络提交到 homebrew/cask 仓库的能力,所有 pull 请求都需要维护人员进行手动审计和批准。无需任何用户交互。
RyotaK 指出,“如果漏洞遭恶意人员滥用,则可被用于攻陷运行 brew 的机器,因此我强烈建议对集中式生态系统进行安全审计。”
详情分析可见:https://blog.ryotak.me/post/homebrew-security-incident-en/。
“机智号”成功试飞火星,但它使用的开源软件安全吗?
开源搜索服务 Apache Solr 出现多个高危漏洞
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
FireEye红队失窃工具大揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
https://thehackernews.com/2021/04/critical-rce-bug-found-in-homebrew.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。