Questa settimana parleremo di una vulnerabilità ad alta gravità nell'utility zgrep di GNU gzip, di una nuova funzionalità su GitHub che amplia la visibilità sui bug della catena di approvvigionamento e di un aggiornamento significativo di TruffleHog, uno strumento che analizza i segreti all'interno dei repository Git.
Vulnerabilità di scrittura arbitraria dei file nell'utilità zgrep di gzip
CVE-2022-1271 è una vulnerabilità di scrittura di file arbitrari riscontrata nell'utilità zgrep di GNU gzip. Quando zgrep viene applicato a un nome di file scelto dall'avversario, può sovrascrivere il contenuto di un file arbitrario selezionato dall'attaccante.
Questa stessa vulnerabilità riguarda anche xzgrep di Tukaani XZ Utils per le versioni fino a 5.2.5, 5.3.1alpha e 5.3.2alpha incluse. Il bug sarebbe stato ereditato da zgrep di gzip.
Questa vulnerabilità è stata scoperta da "cleemy desu wayo" che collabora con la Zero Day Initiative di Trend Micro.
Causa principale - Questa falla si verifica a causa di una convalida insufficiente durante l'elaborazione di nomi di file con due o più linee nuove. L'aggressore potrebbe creare un nome di file multilinea che contiene sia il nome del file di destinazione che il contenuto desiderato per il file. Questa falla consente a un aggressore remoto con privilegi bassi di forzare zgrep a scrivere file arbitrari sul sistema.
Il bug è stato introdotto in gzip-1.3.10 ed è relativamente difficile da sfruttare. Tutte le versioni precedenti sono affette dal problema e la correzione si trova nella versione 1.12 di gzip.
GitHub introduce la capacità di rilevare i bug della catena di approvvigionamento
GitHub ha recentemente introdotto la Dependency Review Action, che analizza le richieste di pull per le modifiche alle dipendenze e solleva un errore se le nuove dipendenze presentano vulnerabilità note della catena di approvvigionamento. L'azione è supportata da un endpoint dell'API che differenzia le dipendenze tra due revisioni qualsiasi. Funziona analizzando le richieste di pull per le modifiche alle dipendenze rispetto al GitHub Advisory Database per vedere se le nuove dipendenze introducono vulnerabilità.
L'azione può essere vista come una misura aggiuntiva allo strumento Dependabot esistente, in quanto avvisa delle vulnerabilità che vengono introdotte nell'ambiente piuttosto che segnalare le vulnerabilità che potrebbero già esistere.
L'azione Dependency Review è attualmente in beta pubblica ed è disponibile per tutti i repository pubblici e per i repository privati appartenenti a organizzazioni che utilizzano GitHub Enterprise Cloud con una licenza per GitHub Advanced Security.
Truffle Security presenta TruffleHog v3
TruffleHog è uno strumento sviluppato da Truffle Security e utilizzato per rilevare chiavi API, password e altri segreti che sono stati inseriti in Git. Il 4 aprile, Dylan Ayrey di Truffle Security ha presentato TruffleHog v3. La nuova versione è stata completamente riscritta in Go e introduce molte nuove potenti funzionalità. Le modifiche più importanti includono più di 600 rilevatori di credenziali che supportano la verifica attiva rispetto alle rispettive API e il supporto nativo per la scansione di GitHub, GitLab, filesystem e S3.
Scendendo un po' più in profondità, si parla di miglioramenti alla velocità di esecuzione dello scanner. In particolare, tutti i rilevatori di segreti sono ora preflightati con confronti di stringhe, con l'aggiunta di miglioramenti generali alla scansione di git ispirati da GitLeaks.
Il repository del progetto si trova all'indirizzo https://github.com/trufflesecurity/trufflehog.
Commenti