在官方HomebrewCask存储库中发现了一个严重的安全漏洞,攻击者可能已经利用该漏洞执行任意代码。日本安全研究人员RyotaK于4月18日向当局报告了该安全漏洞。问题源于其GitHub存储库中代码更改的处理方式,导致恶意代码可能会被自动审查和合并,该漏洞已于4月19日修复。Homebrew是一个免费开源的包管理器解决方案,支持在苹果的macOS操作系统和Linux操作系统上安装软件。HomebrewCask扩展了功能以支持可视化macOS应用程序、字体、插件和其他非开源软件的命令行工作流。Homebrew的MarkusReiter表示:“此次发现的漏洞允许攻击者向代码库中注入任意代码并自动合并”,“由于GitHub的review-cask-pr动作中的git_diff依赖存在缺陷,该动作被用于toParsediffchecksforsubmittedPRs.受该缺陷影响,解析器可能会完全忽略某些代码,导致恶意PR被成功合并”。说白了,这个缺陷意味着攻击者可以在不经过任何审查的情况下,将恶意代码注入到HomebrewCask仓库中并合并分支。研究人员提交了相应的POC以证明漏洞。根据调查结果,Homebrew还删除了名为“automerge”的自动合并GitHubAction,并从所有易受攻击的存储库中删除了“review-cask-pr”GitHubAction。将机器人提交到homebrew/cask*存储库的能力也已被删除,所有PR都需要维护人员手动审查和批准。“如果该漏洞被恶意利用,将产生极其巨大的影响,”研究人员表示:“我们强烈感到有必要对中心化生态系统进行安全审计。”参考来源:https://thehackernews.com/2021/04/critical-rce-bug-found-in-homebrew.html
