Kritischer RCE-Fehler im Homebrew-Paketmanager für macOS und Linux gefunden

Cyber Security News

Eine kürzlich identifizierte Sicherheitslücke im offiziellen Homebrew Cask Repository könnte von einem Angreifer ausgenutzt werden, um beliebigen Code auf den Rechnern von Benutzern auszuführen, die Homebrew installiert haben.

Die Schwachstelle, die am 18. April von einem japanischen Sicherheitsforscher namens RyotaK an die Maintainer gemeldet wurde, rührte von der Art und Weise her, wie Code-Änderungen im GitHub-Repository gehandhabt wurden, was zu einem Szenario führte, in dem ein bösartiger Pull-Request – also die vorgeschlagenen Änderungen – automatisch überprüft und genehmigt werden konnte. Die Schwachstelle wurde am 19. April behoben.

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Homebrew ist eine freie und quelloffene Software-Paketmanager-Lösung, die die Installation von Software auf Apples Betriebssystem macOS sowie auf Linux ermöglicht. Homebrew Cask erweitert die Funktionalität um Kommandozeilen-Workflows für GUI-basierte macOS-Anwendungen, Schriftarten, Plugins und andere Nicht-Open-Source-Software.

“Die entdeckte Schwachstelle würde es einem Angreifer ermöglichen, beliebigen Code in ein Cask einzuschleusen und ihn automatisch einbinden zu lassen”, sagte Markus Reiter von Homebrew. “Dies ist auf einen Fehler in der git_diff-Abhängigkeit der GitHub-Aktion review-cask-pr zurückzuführen, die verwendet wird, um das Diff einer Pull-Anfrage zur Überprüfung zu parsen. Aufgrund dieses Fehlers kann der Parser so manipuliert werden, dass er die beanstandeten Zeilen komplett ignoriert, was dazu führt, dass eine bösartige Pull-Anfrage erfolgreich genehmigt wird.”

Mit anderen Worten, der Fehler bedeutete, dass bösartiger Code, der in das Cask-Repository eingeschleust wurde, ohne jegliche Überprüfung und Genehmigung zusammengeführt wurde.

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Der Forscher reichte auch einen Proof-of-Concept (PoC)-Pull-Request ein, der die Schwachstelle demonstrierte, woraufhin dieser zurückgenommen wurde. Angesichts der Ergebnisse hat Homebrew auch die GitHub-Aktion “automerge” entfernt sowie die GitHub-Aktion “review-cask-pr” deaktiviert und aus allen anfälligen Repositories entfernt. GitHub-Aktion aus allen verwundbaren Repositories entfernt.

Zusätzlich wurde die Möglichkeit für Bots, Commits an Homebrew/Cask*-Repositories durchzuführen, entfernt, wobei alle Pull-Requests künftig eine manuelle Überprüfung und Genehmigung durch einen Maintainer erfordern. Es ist keine Benutzeraktion erforderlich.

“Wenn diese Schwachstelle von einem böswilligen Akteur missbraucht wird, könnte sie genutzt werden, um die Maschinen zu kompromittieren, auf denen Brew läuft, bevor sie rückgängig gemacht wird”, sagte der Forscher. “Daher bin ich der Meinung, dass eine Sicherheitsüberprüfung gegen das zentralisierte Ökosystem erforderlich ist.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com