官方Homebrew Cask存储库中发现了严重的安全漏洞，攻击者可能已经利用了该漏洞在安装Homebrew的失陷主机上执行任意代码。

该安全漏洞由一名日本安全研究人员RyotaK于4月18日报告给官方，该问题源于其GitHub存储库中代码变更的处理方式，从而导致了可能出现恶意代码会被自动审查和合并的情况，该漏洞已于4月19日修复。

Homebrew是一个免费的开源软件包管理器解决方案，支持在Apple的macOS操作系统与Linux操作系统上安装软件。Homebrew Cask对功能进行了扩展，使其支持可视化的MacOS应用程序、字体、插件和其他非开源软件的命令行工作流。

Homebrew的Markus Reiter表示：“本次发现的漏洞使攻击者能够将任意代码注入进代码库并自动合并”，“由于GitHub的review-cask-pr动作中的git_diff依赖项存在缺陷，该动作用于解析提交PR的diff检查。受缺陷影响，解析器可能会完全忽略某些代码，从而导致恶意PR会被成功合并”。

直白点说，该缺陷意味着攻击者可以将恶意代码注入到Homebrew Cask存储库中，且不经过任何审核就能完成分支合并。

研究人员提交了相应的 POC 来进行漏洞证明。根据调查结果，Homebrew还删除了名为“automerge”的自动合并GitHub Action动作，并从所有易受攻击的存储库中删除了“review-cask-pr”的GitHub Action动作。

Bot提交到homebrew/cask存储库的功能也已被删除，所有PR都需要维护人员进行手动审查和批准。

“如果漏洞被恶意利用，会造成极其大的影响”，研究人员表示：“我们强烈感受到需要对集中式的生态系统进行安全审核”。

注：文章转自 FreeBuf，如有侵权请联系删除！

Homebrew软件包管理器中发现RCE漏洞，小心你的Mac和Linux相关推荐

1. 流行软件包管理器中存在多个安全缺陷

    聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

2. GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞

    聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 上周,GitHub 安全实验室的研究员 Erik Krogh Kristensen 在 StandardVersion 中发现一个漏洞 ...

3. unity5.6.4安装包_Unity 2020.1中的软件包管理器更新

   unity5.6.4安装包 As more features in different stages of development move into packages, choosing the r ...

4. yum（Fedora和RedHat以及SUSE中的Shell前端软件包管理器）命令详解

   yum官方网站:http://yum.baseurl.org/ Fedora对于yum的介绍:http://fedoraproject.org/wiki/Yum yum(全称为 Yellow dog ...

5. Mac OS 软件包管理器Homebrew

   前言 当我们在 Mac os 下安装软件的时候,常常会因为缺失依赖包而不得不停止,这时候通常的做法就是在网上下载各种依赖包来进行一一的安装,这种操作难免会有些复杂了,并且很浪费时间.那么今天要讲的是一 ...

6. helm部署仓库中没有的包_Kubernetes的Helm软件包管理器简介

   helm部署仓库中没有的包 Before we dive into the Helm package manager, I'm going to explain some key concepts t ...

7. 怎么理解ubuntu中的软件包管理器apt和dpkg

   大家都知道在ubuntu下,安装软件经常会用到一个命令就是"apt-get install",这里的apt命令,其实是linux系统下一个通用的软件包管理器,使用该命令可以很方便的 ...

8. 树链剖分概念及模板 + 例题 [POJ3237 tree + 软件包管理器]

   文章目录 概念 模板 例题1:软件包管理器 题目 题解 代码实现 例题2:POJ3237 tree 题目 题解 代码实现 概念 树链剖分主要是用于解决以下这两个问题. 1.更改树上点x到点y的最短路径 ...

9. 微软开源 Windows 软件包管理器 winget，一行命令安装软件

   点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | 来源 | https://www.oschin ...

最新文章

1. 《研磨设计模式》chap13 命令模式
2. vl02n 批次拆分
3. hbuilder打包ios_ios开发证书的作用及申请步骤
4. Python之操作HBASE数据库
5. 云服务器主机内网 ip 和外网 ip 的区别
6. Canal 1.1.5 启动报错：caching_sha2_password Auth failed
7. 深度学习笔记--多层感知器以及BP算法
8. LaTeX常用Debug方法汇总
9. Linux 市场估值将超 70 亿美元，主要原因是安全与开源需求
10. python函数定义的规则
11. 经纬度坐标格式批量转换
12. 使用短信接口进行通知
13. Servlet的Request和Response
14. Pycharm2018激活注册码（有效期至2019.05）python
15. 如何免费体验腾讯云虚拟主机（云服务器）
16. EFR32BG22 的三种电源设计
17. 2022-2028年中国代餐轻食市场投资分析及前景预测报告
18. 似然函数以及最大似然估计
19. 中职计算机学校名师工作室,用心耕耘——记浙江省中职名师工作室领衔人卜连英...
20. Web前端开发人员和设计师必读文章推荐【系列二】

热门文章

1. matlab 边界连续,matlab的边界问题
2. golang中文文档_Golang开发环境搭建
3. python运行列表的结果不同_python 3 代码一模一样，出现运行结果不同的情况（只是不以为一样而已）...
4. PYG教程【二】使用networkx创建一个PYG图
5. CTO 太水！犯了低级错误，还删除代码隐藏证据！
6. 关于进程与线程，史上最浅显易懂的一个简单解释!
7. linux 查看mysql运行时间_linux – strace显示从mysql socket读取很长时间 – mysql需要很长时间才能执行查询？...
8. div 布局_CSS布局：三栏布局
9. 深度学习-Tensorflow2.2-深度学习基础和tf.keras{1}-softmax多分类-06
10. 以太网速率怎么手动设置_OPENWRT-KOOLSHARE软路由，一级/单臂/二级/旁软路由设置单臂路由联网教程...