Homebrew软件包管理器中发现RCE漏洞,小心你的Mac和Linux

最新推荐文章于 2024-08-24 15:46:50 发布
最新推荐文章于 2024-08-24 15:46:50 发布
阅读量301 收藏
点赞数
文章标签: linux 安全漏洞 安全
原文链接:https://mp.toutiao.com/profile_v4/graphic/preview?pgc_id=6955719211972968974
版权

官方Homebrew Cask存储库中发现了严重的安全漏洞,攻击者可能已经利用了该漏洞在安装Homebrew的失陷主机上执行任意代码。

该安全漏洞由一名日本安全研究人员RyotaK于4月18日报告给官方,该问题源于其GitHub存储库中代码变更的处理方式,从而导致了可能出现恶意代码会被自动审查和合并的情况,该漏洞已于4月19日修复。

Homebrew是一个免费的开源软件包管理器解决方案,支持在Apple的macOS操作系统与Linux操作系统上安装软件。Homebrew Cask对功能进行了扩展,使其支持可视化的MacOS应用程序、字体、插件和其他非开源软件的命令行工作流。

 

Homebrew的Markus Reiter表示:“本次发现的漏洞使攻击者能够将任意代码注入进代码库并自动合并”,“由于GitHub的review-cask-pr动作中的git_diff依赖项存在缺陷,该动作用于解析提交PR的diff检查。受缺陷影响,解析器可能会完全忽略某些代码,从而导致恶意PR会被成功合并”。

直白点说,该缺陷意味着攻击者可以将恶意代码注入到Homebrew Cask存储库中,且不经过任何审核就能完成分支合并

研究人员提交了相应的 POC 来进行漏洞证明。根据调查结果,Homebrew还删除了名为“automerge”的自动合并GitHub Action动作,并从所有易受攻击的存储库中删除了“review-cask-pr”的GitHub Action动作。

Bot提交到homebrew/cask存储库的功能也已被删除,所有PR都需要维护人员进行手动审查和批准

“如果漏洞被恶意利用,会造成极其大的影响”,研究人员表示:“我们强烈感受到需要对集中式的生态系统进行安全审核”。

注:文章转自 FreeBuf,如有侵权请联系删除!

 

IT_bear_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mac OS 安装 Homebrew软件包管理器
zzzhumengfan的博客
01-07 496
Homebrew macOS 缺失的软件包管理器 文官网 https://brew.sh/index_zh-cn 获取安装命令    /usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 下载的命令是会更新的,最好还是及时去官网找最新的下载...
homebrew-core:Linux LinuxHomebrew软件包管理器的核心公式
02-04
我希望有一天,这把叉子可以合并到主自制核树Linuxbrew核心Homebrew软件包管理器的核心公式。如何安装这些公式? 只需brew install <formula> 。 这是Homebrew的默认水龙头,默认情况下已安装。更多文档,故障...
Homebrew存在大漏洞,恶意代码远程操纵电脑! 网友:这不是单方面的责任
量子位
06-14 4634
丰色 发自 凹非寺量子位 报道 | 公众号 QbitAIMac包管理工具Homebrew出现了一个大漏洞:在Homebrew/homebrew-cask仓库,通过混淆Homebrew项目...
homebrew
weixin_34416649的博客
03-05 57
最近git报了一些漏洞,使用homebrew更新了一下git来修复,在此正好记录一下homebrew的用法,以免遗忘。 1.homebrew 是什么? Mac OSX上的软件包管理工具,能在Mac方便的安装软件或者卸载软件,类似于ubuntu下的apt-get 2.homebrew 安装 ruby -e "$(curl -fsSLh...
mac ssh工具_Mac终端利器 iTerm2被曝严重的RCE漏洞,至少已存在7年(含PoC视频)
weixin_39814378的博客
11-19 154
由Mozilla开源支持计划(MOSS)资助、网络安全公司Radically Open Security(ROS)开展的一次独立安全审计结果显示,iTerm 2 存在一个严重的远程代码执行(RCE)漏洞,且至少已存在7年。iTerm 2 简介iTerm2是全球最热门的终端模拟器之一,是开发人员经常使用的MacOS 终端工具,是Mac内置终端app最有力的热门开源工具替代品之一,被很多开...
Mac安装Homebrew排坑大全..
杨大仙
02-12 1115
BACKGROUND: 安装Homebrew嘎嘎报错!
Linux漏洞比Windows,Windows10漏洞数量惊人少,比Mac OS,Linux和Andriod少
weixin_26824207的博客
05-09 591
在我的个人印象,Windows的漏洞有比较多的,如果进行排名的话,Windows 10的漏洞肯定要比macOS、Linux多,事实是这样吗?美国国家标准暨技术研究院的国家漏洞数据库显示,Windows 10的技术漏洞比iOS还少。注意这里只是指windows 10,并非windows系统。数据统计了1999年至2019年的数据,显示技术漏洞最多的是Debian Linux,多达3067个,第二名...
Mac OS 软件包管理器Homebrew
luoyayun361的专栏
05-25 1129
前言 当我们在 Mac os 下安装软件的时候,常常会因为缺失依赖包而不得不停止,这时候通常的做法就是在网上下载各种依赖包来进行一一的安装,这种操作难免会有些复杂了,并且很浪费时间。那么今天要讲的是一个专门用于Mac 下缺失的软件包管理器HomebrewHomebrewMac os 下不可或缺的软件包管理器,可以通过终端方便的使用它来安装管理苹果没有自带的Unix相关工具软件。 安装...
Homebrew 软件包管理器
暄妍丶的博客
08-10 437
HomebrewmacOs 或 linux下的软件包管理器,经常用于macos下对软件进行管理, 类似于CentOS下的yum命令或ubunt下的apt-get。
homebrew-bio:Homebrew软件包管理器的生物信息学公式(macOS和Linux
02-03
Brewsci /生物和软件包管理器的生物信息学公式。如何安装公式? brew tap brewsci/biobrew install FORMULA 要么brew install brewsci/bio/FORMULA故障排除首先阅读。 使用brew gist-logs FORMULA创建并将链接发布到...
linuxbrew-core:Linux LinuxHomebrew软件包管理器的核心公式
02-02
Homebrew软件包管理器的核心公式。 如何安装这些公式? 只需brew install <formula> 。 这是Homebrew的默认水龙头,默认情况下已安装。 更多文档,故障排除,贡献,安全性,社区,捐赠,许可证和赞助商 请参阅这些...
homebrew-caveats:Homebrew软件包管理器的公式警告捷径
02-04
Homebrew软件包管理器的公式警告捷径 它是什么? 这是的。 它提供了有关Homebrew软件包和酒桶的安装说明。 用法 虽然脚本的名称是brew-caveats.rb和brewcask-caveats.rb ,的工作以这样一种方式,你调用它们的brew ...
Homebrew:适用于MacLinux的开源免费软件包管理器-开源
04-16
HomeBrewMacLinux系统的开源软件包管理器,可轻松安装Apple或Linux系统未提供的程序。 考虑在其Patreon上支持该项目! https://www.patreon.com/homebrew
虚拟内存和linux(操作系统part1)
最新发布
linjixia的博客
08-24 467
八股之虚拟内存和Linux部分的笔记。
Linux 线程的控制 互斥与同步
qq_63145217的博客
08-23 894
include //头文件sem_t sem;信号量的类型 信号量的变量。
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 1033
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
Linux自旋锁和读写锁
m0_74830524的博客
08-24 603
在前面的文章我们已经介绍了有关互斥锁的概念与使用,本篇将开始介绍在 Linux 的自旋锁和读写锁。这三种锁分别用于在不同的应用场景之,其互斥锁最为常用,但是我们需要了解一下其他的锁。 对于自旋锁和读写锁都介绍了其原理以及接口使用,并且给出了样例代码。
Linux上构建Windows应用程序:深入探索跨平台开发的实践与挑战
w651428055的博客
08-21 1081
Linux上构建Windows应用程序,不仅拓宽了开发者的技能范围,也为软件产品的多平台部署提供了灵活性和成本效益。虽然这一过程面临挑战,但通过合理选择工具、框架和策略,可以有效地克服这些障碍。随着技术的不断进步,跨平台开发将变得更加成熟和便捷,为软件开发带来更多的可能性和机遇。未来,随着更多高效工具和框架的出现,跨平台开发的效率和质量有望进一步提升,为软件工程领域注入新的活力。
Homebrew管理器
05-24
Homebrew 是一个 macOS 操作系统下的包管理器,它可以让用户轻松地安装和管理各种开源软件包。用户可以使用 Homebrew 安装类似于 Git、Node.js、Python 等程序,也可以使用它更新已经安装的软件包。使用 Homebrew 安装软件包通常只需要在终端输入简单的命令即可完成,比如 `brew install git` 就可以安装 Git。Homebrew 还有一个功能强大的搜索引擎,可以帮助用户快速找到需要的软件包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值