Срочно. В Homebrew для macOS и Linux обнаружена критическая ошибка

пишет The Hacker News.

Homebrew - это бесплатное решение для управления пакетами программного обеспечения с открытым исходным кодом, которое позволяет устанавливать программное обеспечение в операционной системе MacOS от Apple, а также в Linux. Homebrew Cask расширяет функциональные возможности, включая рабочие процессы командной строки для приложений macOS на основе графического интерфейса пользователя, шрифтов, плагинов и другого программного обеспечения без открытого исходного кода.

«Обнаруженная уязвимость позволит злоумышленнику ввести произвольный код в контейнер и автоматически объединить его, — сказал Маркус Рейтер из Homebrew — Это происходит из-за недостатка в зависимости git_diff действия GitHub review-cask-pr , которое используется для синтаксического анализа различий в запросе для проверки. Из-за этого недостатка синтаксический анализатор может быть обманут, полностью игнорируя вредоносные строки».

Другими словами, ошибка означала, что вредоносный код, внедрённый в репозиторий Cask, был объединён без какой-либо проверки и утверждения.

Исследователь также отправил запрос PoC, демонстрирующий уязвимость, после чего он был отменен. В свете результатов Homebrew также удалил действие GitHub «automerge», а также отключил и удалил действие GitHub «review-cask-pr» из всех уязвимых репозиториев.

Кроме того, для ботов была удалена возможность фиксации в репозиториях homebrew / cask *, и в дальнейшем все запросы на вытягивание требуют ручного просмотра и утверждения сопровождающим. От пользователя не потребуется никаких действий.

«Если этой уязвимостью воспользовался злоумышленник, её можно было бы использовать для компрометации компьютеров, на которых работает brew, до того, как она будет восстановлена», — сказал исследователь. — «Поэтому я твёрдо уверен, что необходим аудит безопасности централизованной экосистемы».