Skip to main content
BlogSécuritéDigest de sécurité Linode 8 - 14 avril 2022

Digest de sécurité Linode 8 - 14 avril 2022

Digest de sécurité Linode

Cette semaine, nous parlerons d'une vulnérabilité très grave dans l'utilitaire zgrep de GNU gzip, d'une nouvelle fonctionnalité sur GitHub qui élargit la visibilité sur les bogues de la chaîne d'approvisionnement, et d'une mise à jour importante de TruffleHog, un outil qui analyse les secrets à l'intérieur des dépôts Git.

Vulnérabilité d'écriture arbitraire dans l'utilitaire zgrep de gzip

CVE-2022-1271 est une vulnérabilité d'écriture de fichier arbitraire trouvée dans l'utilitaire zgrep de GNU gzip. Lorsque zgrep est appliqué à un nom de fichier choisi par l'adversaire, il peut écraser le contenu d'un attaquant dans un fichier arbitraire choisi par l'attaquant. 

Cette même vulnérabilité affecte également xzgrep de Tukaani XZ Utils pour les versions jusqu'à 5.2.5, 5.3.1alpha, et 5.3.2alpha. Le bogue serait hérité de zgrep de gzip.

Cette vulnérabilité a été découverte par "cleemy desu wayo" dans le cadre de l'initiative Zero Day de Trend Micro.

Cause première - Cette faille est due à une validation insuffisante lors du traitement des noms de fichiers comportant deux nouvelles lignes ou plus. L'attaquant peut créer un nom de fichier multiligne qui contient à la fois le nom de fichier cible et le contenu qu'il souhaite pour le fichier. Cette faille permet à un attaquant distant ayant peu de privilèges de forcer zgrep à écrire des fichiers arbitraires sur le système.

Le bogue a été introduit dans gzip-1.3.10 et est relativement difficile à exploiter. Toutes les versions antérieures seraient concernées et la correction se trouve dans la version 1.12 de gzip.

GitHub introduit une capacité de détection des bogues dans la chaîne d'approvisionnement

GitHub a récemment introduit l'action d'examen des dépendances, qui analyse vos demandes d'extraction pour les changements de dépendances et lève une erreur si de nouvelles dépendances ont des vulnérabilités connues dans la chaîne d'approvisionnement. L'action est prise en charge par un point de terminaisonAPI qui différencie les dépendances entre deux révisions. Elle fonctionne en analysant les demandes de modifications de dépendances par rapport à la base de données d'avis de GitHub pour voir si de nouvelles dépendances introduisent des vulnérabilités.

Cette action peut être considérée comme une mesure supplémentaire par rapport à l'outil Dependabot existant, car elle alerte sur les vulnérabilités qui sont introduites dans votre environnement plutôt que de signaler les vulnérabilités qui pourraient déjà exister.

L'action Dependency Review est actuellement en version bêta publique et est disponible pour tous les dépôts publics et pour les dépôts privés appartenant à des organisations utilisant GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security. 

Truffle Security présente TruffleHog v3

TruffleHog est un outil développé par Truffle Security et utilisé pour détecter les clés API , les mots de passe et autres secrets qui ont été déposés sur Git. Le 4 avril, Dylan Ayrey de Truffle Security a présenté TruffleHog v3. La nouvelle version a été entièrement réécrite sur Go et introduit de nombreuses nouvelles fonctionnalités puissantes. Les changements les plus notables comprennent plus de 600 détecteurs d'informations d'identification qui prennent en charge la vérification active par rapport à leurs API respectives et la prise en charge native de l'analyse de GitHub, GitLab, des systèmes de fichiers et de S3. 

En allant un peu plus loin, il mentionne des améliorations de la vitesse d'exécution de l'analyseur. Notamment, tous les détecteurs de secrets sont désormais contrôlés en amont avec des comparaisons de chaînes de caractères, avec l'ajout d'améliorations générales à l'analyse de git inspirées par GitLeaks.

Le référentiel du projet se trouve à l'adresse suivante : https://github.com/trufflesecurity/trufflehog.


Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.