Поделиться
Спец по кибербезопасности из Стране восходящего солнца под ником RyotaK нашёл критичную уязвимость в пакетном менеджере Homebrew. Она позволяла злодеям употреблять пользующийся популярностью инструмент для выполнения хоть какого кода на компах жертв.
«Дыру» нашли в официальном репозитории Homebrew Cask. Эксплуатируя её, хакеры могли внедрять случайный код в контейнер, опосля что автоматом соединять воединыжды его.
Это [объединение] происходит из-за препядствия в зависимости git_diff деяния GitHub review-cask-pr, которое употребляется для синтаксического анализа различий в pull-запросе для проверки. Синтаксический анализатор можно одурачить, и он стопроцентно проигнорирует вредные строчки, что приведет к удачному одобрению вредного pull-запроса.
Homebrew
Создатели Homebrew объявили о удалении автоматического объединения кода в контейнере на GitHub. Совместно с тем они отключили и удалили действие review-cask-pr из всех уязвимых репозиториев.
Homebrew — один из самых фаворитных пакетных менеджеров. Употребляется юзерами macOS и Linux. Написан он на языке Ruby, а распространяется как свободное программное обеспечение с открытым кодом.
Источник: SecurityLab
Источник: