Уязвимость в Homebrew позволяла выполнять произвольный код на компьютерах пользователей

Неприятная ситуация, учитывая количество разработчиков, использующих именно этот менеджер.

Специалист по кибербезопасности из Японии под ником RyotaK нашёл критическую уязвимость в пакетном менеджере Homebrew. Она позволяла злоумышленникам использовать популярный инструмент для выполнения любого кода на компьютерах жертв.

«Дыру» обнаружили в официальном репозитории Homebrew Cask. Эксплуатируя её, хакеры могли внедрять произвольный код в контейнер, после чего автоматически объединять его.

Это [объединение] происходит из-за проблемы в зависимости git_diff действия GitHub review-cask-pr, которое используется для синтаксического анализа различий в pull-запросе для проверки. Синтаксический анализатор можно обмануть, и он полностью проигнорирует вредоносные строки, что приведет к успешному одобрению вредоносного pull-запроса.

Homebrew

Разработчики Homebrew объявили об удалении автоматического объединения кода в контейнере на GitHub. Вместе с тем они отключили и удалили действие review-cask-pr из всех уязвимых репозиториев.

Homebrew — один из самых популярных пакетных менеджеров. Используется пользователями macOS и Linux. Написан он на языке Ruby, а распространяется как свободное программное обеспечение с открытым кодом.

Источник: SecurityLab