Поделиться
Специалист по кибербезопасности из Японии под ником RyotaK нашёл критическую уязвимость в пакетном менеджере Homebrew. Она позволяла злоумышленникам использовать популярный инструмент для выполнения любого кода на компьютерах жертв.
«Дыру» обнаружили в официальном репозитории Homebrew Cask. Эксплуатируя её, хакеры могли внедрять произвольный код в контейнер, после чего автоматически объединять его.
Это [объединение] происходит из-за проблемы в зависимости git_diff действия GitHub review-cask-pr, которое используется для синтаксического анализа различий в pull-запросе для проверки. Синтаксический анализатор можно обмануть, и он полностью проигнорирует вредоносные строки, что приведет к успешному одобрению вредоносного pull-запроса.
Homebrew
Разработчики Homebrew объявили об удалении автоматического объединения кода в контейнере на GitHub. Вместе с тем они отключили и удалили действие review-cask-pr из всех уязвимых репозиториев.
Homebrew — один из самых популярных пакетных менеджеров. Используется пользователями macOS и Linux. Написан он на языке Ruby, а распространяется как свободное программное обеспечение с открытым кодом.
Источник: SecurityLab
Источник: