Esta semana, hablaremos de una vulnerabilidad de alta gravedad en la utilidad zgrep de GNU gzip, de una nueva funcionalidad en GitHub que amplía la visibilidad de los fallos en la cadena de suministro y de una importante actualización de TruffleHog, una herramienta que escanea en busca de secretos dentro de los repositorios de Git.
Vulnerabilidad de escritura de archivos arbitrarios en la utilidad zgrep de gzip
CVE-2022-1271 es una vulnerabilidad de escritura arbitraria de archivos encontrada en la utilidad zgrep de GNU gzip. Cuando zgrep se aplica a un nombre de archivo elegido por el adversario, puede sobrescribir el contenido de un atacante a un archivo arbitrario seleccionado por el atacante.
Esta misma vulnerabilidad también afecta a xzgrep de Tukaani XZ Utils para las versiones hasta 5.2.5, 5.3.1alpha y 5.3.2alpha. Se dice que el fallo ha sido heredado de zgrep de gzip.
Esta vulnerabilidad fue descubierta por "cleemy desu wayo" en colaboración con la Iniciativa de Día Cero de Trend Micro.
Causa raíz - Este fallo se produce debido a una validación insuficiente al procesar nombres de archivo con dos o más nuevas líneas. El atacante podría crear un nombre de archivo de varias líneas que contenga tanto el nombre de archivo de destino como el contenido deseado para el archivo. Este fallo permite a un atacante remoto con pocos privilegios forzar a zgrep a escribir archivos arbitrarios en el sistema.
El fallo se introdujo en gzip-1.3.10 y es relativamente difícil de explotar. Se dice que todas las versiones anteriores están afectadas y la solución se encuentra en la versión 1.12 de gzip.
GitHub introduce una capacidad para detectar errores en la cadena de suministro
GitHub ha introducido recientemente la acción de revisión de dependencias, que analiza tus pull requests en busca de cambios en las dependencias y genera un error si alguna de las nuevas dependencias presenta vulnerabilidades conocidas en la cadena de suministro. La acción es compatible con un punto final de la API que diferencia las dependencias entre dos revisiones cualesquiera. Funciona escaneando las solicitudes de cambios de dependencias en la base de datos de avisos de GitHub para ver si las nuevas dependencias introducen vulnerabilidades.
La acción puede considerarse como una medida adicional a la herramienta Dependabot existente, ya que alerta sobre las vulnerabilidades que se están introduciendo en su entorno en lugar de informar sobre las vulnerabilidades que ya podrían existir.
La acción de revisión de dependencias está actualmente en beta pública y está disponible para todos los repositorios públicos y para los repositorios privados pertenecientes a organizaciones que utilizan GitHub Enterprise Cloud con una licencia de GitHub Advanced Security.
Truffle Security presenta TruffleHog v3
TruffleHog es una herramienta desarrollada por Truffle Security y se utiliza para detectar claves de API, contraseñas y otros secretos que se han confirmado en Git. El 4 de abril, Dylan Ayrey de Truffle Security presentó TruffleHog v3. La nueva versión fue completamente reescrita en Go e introduce muchas nuevas y potentes características. Los cambios más notables incluyen más de 600 detectores de credenciales que soportan verificación activa contra sus respectivas APIs y soporte nativo para escanear GitHub, GitLab, sistemas de archivos y S3.
Profundizando un poco más, menciona mejoras en la velocidad de ejecución del escáner. En particular, todos los detectores de secretos son ahora pre-comprobados con comparaciones de cadenas con la adición de mejoras generales en el escaneo de git inspirado por GitLeaks.
El repositorio del proyecto se encuentra en https://github.com/trufflesecurity/trufflehog.
Comentarios