缺陷意味着将其注入CASK REPO的恶意代码自动合并
自制的脆弱性,非常受欢迎开源MacOS和Linux的软件包管理器使攻击者能够在运行该应用程序的机器上执行恶意红宝石代码。
安全研究人员Ryotak’在脆弱性在探究了使用GitHub动作的CI脚本后,由项目维护人员批准了评估。
日本研究人员发现“在自制/家庭主扣存储库,可以通过混淆自动拉动请求库中使用的库来合并恶意拉的请求。博客文章于4月21日出版。
欺骗解析器
在一个安全警报,自制维护者马克斯·雷特(Markus Reiter)说:“这是由于缺陷git_diff依赖性评论屏蔽台GitHub Action,用于解析拉动请求的差异进行检查。
“由于这个缺陷,可以使解析器完全忽略了有问题的线条,从而成功地批准了恶意的拉力请求。”
他继续出现这个问题,因为:“每当受影响的木桶收到收到拉的请求时,只需更改桶的版本,评论屏蔽台GitHub Action将自动审查并批准拉动请求。然后,批准将触发汽车github将合并批准的拉请求的行动。”
确保存储库
鉴于发现,报告雷特说脆弱评论屏蔽台和汽车GitHub动作已被禁用并从所有存储库中删除。
而且,机器人不再承诺Homebrew/CASK*存储库,现在需要需要手动审查和维护者批准的拉动请求。
Reiter补充说:“我们正在改进文档,以帮助船上新型自制/桶装维护者和培训现有的自制/核心维护者,以帮助制作自制/桶装。”
他继续说:“莱塔克(Ryotak)妥协了一只桶,“在示范请求的持续时间内,无害的变化直到其逆转”。“由于此事件,用户不需要采取任何行动。”
该错误的重力促使Ryotak评论:“我强烈认为需要对集中生态系统进行安全审核。我想针对PYPI/NPM注册表等进行安全审核,但是由于它们不允许明确评估,所以我做不到。”
据报道,该缺陷于4月17日,两天后4月19日被完全修复。
简化了MacOS和Linux上软件的安装的Homebrew,目前在63中排名63Gitstar故障Github星级评级的组织。
