Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка

Уязвимость в Homebrew позволяла выполнять произвольный код на компьютерах пользователей

Новости

Неприятная ситуация, учитывая количество разработчиков, использующих именно этот менеджер.

573 открытий597 показов

Специалист по кибербезопасности из Японии под ником RyotaK нашёл критическую уязвимость в пакетном менеджере Homebrew. Она позволяла злоумышленникам использовать популярный инструмент для выполнения любого кода на компьютерах жертв.

Уязвимость в Homebrew позволяла выполнять произвольный код на компьютерах пользователей 1

«Дыру» обнаружили в официальном репозитории Homebrew Cask. Эксплуатируя её, хакеры могли внедрять произвольный код в контейнер, после чего автоматически объединять его.

Это [объединение] происходит из-за проблемы в зависимости git_diff действия GitHub review-cask-pr, которое используется для синтаксического анализа различий в pull-запросе для проверки. Синтаксический анализатор можно обмануть, и он полностью проигнорирует вредоносные строки, что приведет к успешному одобрению вредоносного pull-запроса.

Разработчики Homebrew объявили об удалении автоматического объединения кода в контейнере на GitHub. Вместе с тем они отключили и удалили действие review-cask-pr из всех уязвимых репозиториев.

Homebrew — один из самых популярных пакетных менеджеров. Используется пользователями macOS и Linux. Написан он на языке Ruby, а распространяется как свободное программное обеспечение с открытым кодом.

Источник: SecurityLab

Следите за новыми постами
Следите за новыми постами по любимым темам
573 открытий597 показов