Homebrew软件包管理器中发现RCE漏洞,小心你的Mac和Linux
官方Homebrew Cask存储库中发现了严重的安全漏洞,攻击者可能已经利用了该漏洞在安装Homebrew的失陷主机上执行任意代码。
该安全漏洞由一名日本安全研究人员RyotaK于4月18日报告给官方,该问题源于其GitHub存储库中代码变更的处理方式,从而导致了可能出现恶意代码会被自动审查和合并的情况,该漏洞已于4月19日修复。
Homebrew是一个免费的开源软件包管理器解决方案,支持在Apple的macOS操作系统与Linux操作系统上安装软件。Homebrew Cask对功能进行了扩展,使其支持可视化的MacOS应用程序、字体、插件和其他非开源软件的命令行工作流。
Homebrew的Markus Reiter表示:“本次发现的漏洞使攻击者能够将任意代码注入进代码库并自动合并”,“由于GitHub的review-cask-pr动作中的git_diff依赖项存在缺陷,该动作用于解析提交PR的diff检查。受缺陷影响,解析器可能会完全忽略某些代码,从而导致恶意PR会被成功合并”。
直白点说,该缺陷意味着攻击者可以将恶意代码注入到Homebrew Cask存储库中,且不经过任何审核就能完成分支合并。
研究人员提交了相应的 POC 来进行漏洞证明。根据调查结果,Homebrew还删除了名为“automerge”的自动合并GitHub Action动作,并从所有易受攻击的存储库中删除了“review-cask-pr”的GitHub Action动作。
Bot提交到homebrew/cask存储库的功能也已被删除,所有PR都需要维护人员进行手动审查和批准。
“如果漏洞被恶意利用,会造成极其大的影响”,研究人员表示:“我们强烈感受到需要对集中式的生态系统进行安全审核”。
注:文章转自 FreeBuf,如有侵权请联系删除!
Homebrew软件包管理器中发现RCE漏洞,小心你的Mac和Linux相关推荐
- 流行软件包管理器中存在多个安全缺陷
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 上周,GitHub 安全实验室的研究员 Erik Krogh Kristensen 在 StandardVersion 中发现一个漏洞 ...
- unity5.6.4安装包_Unity 2020.1中的软件包管理器更新
unity5.6.4安装包 As more features in different stages of development move into packages, choosing the r ...
- yum(Fedora和RedHat以及SUSE中的Shell前端软件包管理器)命令详解
yum官方网站:http://yum.baseurl.org/ Fedora对于yum的介绍:http://fedoraproject.org/wiki/Yum yum(全称为 Yellow dog ...
- Mac OS 软件包管理器Homebrew
前言 当我们在 Mac os 下安装软件的时候,常常会因为缺失依赖包而不得不停止,这时候通常的做法就是在网上下载各种依赖包来进行一一的安装,这种操作难免会有些复杂了,并且很浪费时间.那么今天要讲的是一 ...
- helm部署仓库中没有的包_Kubernetes的Helm软件包管理器简介
helm部署仓库中没有的包 Before we dive into the Helm package manager, I'm going to explain some key concepts t ...
- 怎么理解ubuntu中的软件包管理器apt和dpkg
大家都知道在ubuntu下,安装软件经常会用到一个命令就是"apt-get install",这里的apt命令,其实是linux系统下一个通用的软件包管理器,使用该命令可以很方便的 ...
- 树链剖分概念及模板 + 例题 [POJ3237 tree + 软件包管理器]
文章目录 概念 模板 例题1:软件包管理器 题目 题解 代码实现 例题2:POJ3237 tree 题目 题解 代码实现 概念 树链剖分主要是用于解决以下这两个问题. 1.更改树上点x到点y的最短路径 ...
- 微软开源 Windows 软件包管理器 winget,一行命令安装软件
点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 来源 | https://www.oschin ...
最新文章
- 《研磨设计模式》chap13 命令模式
- vl02n 批次拆分
- hbuilder打包ios_ios开发证书的作用及申请步骤
- Python之操作HBASE数据库
- 云服务器主机内网 ip 和外网 ip 的区别
- Canal 1.1.5 启动报错:caching_sha2_password Auth failed
- 深度学习笔记--多层感知器以及BP算法
- LaTeX常用Debug方法汇总
- Linux 市场估值将超 70 亿美元,主要原因是安全与开源需求
- python函数定义的规则
- 经纬度坐标格式批量转换
- 使用短信接口进行通知
- Servlet的Request和Response
- Pycharm2018激活注册码(有效期至2019.05)python
- 如何免费体验腾讯云虚拟主机(云服务器)
- EFR32BG22 的三种电源设计
- 2022-2028年中国代餐轻食市场投资分析及前景预测报告
- 似然函数以及最大似然估计
- 中职计算机学校名师工作室,用心耕耘——记浙江省中职名师工作室领衔人卜连英...
- Web前端开发人员和设计师必读文章推荐【系列二】
热门文章
- matlab 边界连续,matlab的边界问题
- golang中文文档_Golang开发环境搭建
- python运行列表的结果不同_python 3 代码一模一样,出现运行结果不同的情况(只是不以为一样而已)...
- PYG教程【二】使用networkx创建一个PYG图
- CTO 太水!犯了低级错误,还删除代码隐藏证据!
- 关于进程与线程,史上最浅显易懂的一个简单解释!
- linux 查看mysql运行时间_linux – strace显示从mysql socket读取很长时间 – mysql需要很长时间才能执行查询?...
- div 布局_CSS布局:三栏布局
- 深度学习-Tensorflow2.2-深度学习基础和tf.keras{1}-softmax多分类-06
- 以太网速率怎么手动设置_OPENWRT-KOOLSHARE软路由,一级/单臂/二级/旁软路由设置单臂路由联网教程...