今週は、GNU gzip の zgrep ユーティリティにおける深刻度の高い脆弱性、サプライチェーンのバグを可視化する GitHub の新機能、および Git リポジトリ内の秘密をスキャンするツール TruffleHog の大幅な更新について説明します。
gzip の zgrep ユーティリティにおける任意のファイル書き込みの脆弱性
CVE-2022-1271 は、GNU gzip の zgrep ユーティリティに見つかった、任意のファイル書き込みの脆弱性です。zgrep が、敵の選んだファイル名に対して適用された場合、攻撃者が選んだ任意のファイルに、攻撃者のコンテンツを上書きすることが可能です。
この同じ脆弱性は、Tukaani XZ Utils の 5.2.5, 5.3.1alpha, 5.3.2alpha までのバージョンにある xzgrep にも影響します。このバグは、gzip の zgrep から継承されたものだという。
この脆弱性は、トレンドマイクロのZero Day Initiativeに参加している「cleemy desu wayo」によって発見されました。
根本原因 - この欠陥は、2つ以上の改行があるファイル名を処理する際の不十分な検証のために発生します。攻撃者は、ターゲットとなるファイル名と、そのファイルに対して希望する内容の両方を含む、複数行のファイル名を作成することができます。この不具合により、遠隔地にいる低権限の攻撃者に、zgrepで任意のファイルを書き込むことを強要される可能性があります。
このバグはgzip-1.3.10で導入され、比較的悪用されにくいとされています。以前のバージョンもすべて影響を受けると言われており、その修正はgzip バージョン1.12 で見つけることができます。
GitHub、サプライチェーンのバグを検出する機能を導入
GitHubは最近、依存関係の変更についてプルリクエストをスキャンし、新しい依存関係に既知のサプライチェーンの脆弱性がある場合はエラーを発生させる「依存関係レビューアクション」を導入しました。このアクションは、2つのリビジョン間の依存関係を差分化するAPI エンドポイントによってサポートされています。このアクションは、GitHub Advisory Databaseに対して依存関係の変更に関するプルリクエストをスキャンし、新しい依存関係が脆弱性をもたらすかどうかを確認することで動作します。
このアクションは、すでに存在する可能性のある脆弱性を報告するのではなく、お客様の環境に導入される脆弱性について警告するもので、既存のDependabotツールの追加対策と言えます。
Dependency Review アクションは現在パブリックベータ版で、すべてのパブリックリポジトリと、GitHub Advanced Security のライセンスを取得して GitHub Enterprise Cloud を使用している組織に属するプライベートリポジトリで利用可能です。
Truffle Security、「TruffleHog v3」を発表
TruffleHogはTruffle Security社が開発したツールで、GitにコミットされたAPI キーやパスワードなどの秘密を検出するために使用されます。4月4日、Truffle Security社のDylan Ayrey氏がTruffleHog v3を紹介しました。新バージョンは、Go で完全に書き直され、新たに多くの強力な機能を導入しています。最も注目すべき変更点は、それぞれのAPIに対してアクティブな検証をサポートする600以上のクレデンシャル検出器と、GitHub、GitLab、ファイルシステム、S3 のスキャンをネイティブでサポートすることです。
もう少し深く掘り下げると、スキャナーの実行速度の改善について言及しています。注目すべきは、GitLeaksに触発されたgitスキャンの全体的な改良に加え、すべての秘密検出器が文字列比較でプリフライトされるようになったことです。
このプロジェクトのリポジトリは、https://github.com/trufflesecurity/trufflehog。
コメント