Diese Woche besprechen wir eine hochgradig gefährliche Schwachstelle im GNU gzip-Dienstprogramm zgrep, neue Funktionen auf GitHub, die die Transparenz von Fehlern in der Lieferkette erhöhen, und ein wichtiges Update von TruffleHog, einem Tool, das nach Geheimnissen in Git-Repositories sucht.
Sicherheitslücke beim Schreiben beliebiger Dateien im zgrep-Dienstprogramm von gzip
CVE-2022-1271 ist eine beliebige Datei schreiben Schwachstelle in GNU gzip's zgrep Dienstprogramm gefunden. Wenn zgrep auf einen vom Angreifer gewählten Dateinamen angewandt wird, kann es den Inhalt eines Angreifers in eine beliebige, vom Angreifer ausgewählte Datei überschreiben.
Die gleiche Schwachstelle betrifft auch xzgrep von Tukaani XZ Utils für Versionen bis einschließlich 5.2.5, 5.3.1alpha und 5.3.2alpha. Der Fehler wurde angeblich von zgrep von gzip geerbt.
Diese Sicherheitslücke wurde von "cleemy desu wayo" entdeckt, der mit der Zero Day Initiative von Trend Micro zusammenarbeitet.
Ursache - Dieser Fehler tritt aufgrund einer unzureichenden Validierung bei der Verarbeitung von Dateinamen mit zwei oder mehr Zeilenumbrüchen auf. Der Angreifer könnte einen mehrzeiligen Dateinamen erstellen, der sowohl den Zieldateinamen als auch den gewünschten Inhalt für die Datei enthält. Dieser Fehler erlaubt einem entfernten, wenig privilegierten Angreifer, zgrep zu zwingen, beliebige Dateien auf das System zu schreiben.
Der Fehler wurde in gzip-1.3.10 eingeführt und ist relativ schwer auszunutzen. Alle früheren Versionen sollen betroffen sein, und die Behebung ist in gzip Version 1.12 zu finden.
GitHub führt eine Funktion zur Erkennung von Fehlern in der Lieferkette ein
GitHub hat vor kurzem die Dependency Review Action eingeführt, die Ihre Pull-Requests auf Abhängigkeitsänderungen überprüft und einen Fehler auslöst, wenn neue Abhängigkeiten bekannte Schwachstellen in der Lieferkette aufweisen. Die Aktion wird durch einen API-Endpunkt unterstützt, der die Abhängigkeiten zwischen zwei beliebigen Revisionen vergleicht. Dabei werden Pull-Requests auf Abhängigkeitsänderungen mit der GitHub Advisory Database abgeglichen, um zu sehen, ob neue Abhängigkeiten Sicherheitslücken einführen.
Die Aktion kann als zusätzliche Maßnahme zum bestehenden Dependabot-Tool angesehen werden, da sie auf Schwachstellen hinweist, die in Ihre Umgebung eingebracht werden, und nicht auf Schwachstellen, die möglicherweise bereits vorhanden sind.
Die Aktion zur Überprüfung von Abhängigkeiten befindet sich derzeit in der öffentlichen Beta-Phase und ist für alle öffentlichen Repositories und für private Repositories von Organisationen verfügbar, die GitHub Enterprise Cloud mit einer Lizenz für GitHub Advanced Security nutzen.
Truffle Security stellt TruffleHog v3 vor
TruffleHog ist ein von Truffle Security entwickeltes Tool zum Aufspüren von API-Schlüsseln, Passwörtern und anderen Geheimnissen, die an Git übergeben wurden. Am 4. April stellte Dylan Ayrey von Truffle Security TruffleHog v3 vor. Die neue Version wurde unter Go komplett neu geschrieben und bietet viele neue leistungsstarke Funktionen. Zu den bemerkenswertesten Änderungen gehören mehr als 600 Credential Detectors, die eine aktive Überprüfung ihrer jeweiligen APIs unterstützen, sowie native Unterstützung für das Scannen von GitHub, GitLab, Dateisystemen und S3.
Bei näherer Betrachtung werden Verbesserungen bei der Laufzeitgeschwindigkeit des Scanners erwähnt. Insbesondere werden jetzt alle Geheimdetektoren mit String-Vergleichen überprüft. Hinzu kommen allgemeine Verbesserungen beim Git-Scannen, die von GitLeaks inspiriert wurden.
Das Repository für das Projekt finden Sie unter https://github.com/trufflesecurity/trufflehog.
Kommentare