이번 주에는 GNU gzip의 zgrep 유틸리티의 심각도가 높은 취약점, 공급망 버그에 대한 가시성을 확장하는 GitHub의 새로운 기능, Git 저장소 내부의 비밀을 검색하는 도구인 TruffleHog에 대한 중요한 업데이트에 대해 설명합니다.
gzip의 zgrep 유틸리티의 임의 파일 쓰기 취약점
CVE-2022-1271은 GNU gzip의 zgrep 유틸리티에서 발견되는 임의의 파일 쓰기 취약점입니다. zgrep이 적에 의해 선택된 파일 이름에 적용되면 공격자의 콘텐츠를 공격자가 선택한 임의의 파일로 덮어쓸 수 있습니다.
이 동일한 취약점은 Tukaani XZ Utils의 xzgrep에 5.2.5, 5.3.1alpha 및 5.3.2alpha를 포함한 최대 버전에도 영향을 미칩니다. 이 버그는 gzip의 zgrep에서 상속 받았다고합니다.
이 취약점은 트렌드마이크로의 제로 데이 이니셔티브(Zero Day Initiative)와 협력하는 "cleemy desu wayo"에 의해 발견되었습니다.
근본 원인 – 이 결함은 둘 이상의 개행 문자로 파일 이름을 처리할 때 유효성 검사가 불충분하기 때문에 발생합니다. 공격자는 대상 파일 이름과 파일에 대해 원하는 내용을 모두 포함하는 여러 줄 파일 이름을 만들 수 있습니다. 이 결함으로 인해 권한이 낮은 원격 공격자가 zgrep이 시스템에 임의의 파일을 쓰도록 강요 할 수 있습니다.
이 버그는 gzip-1.3.10에서 도입되었으며 악용하기가 상대적으로 어렵습니다. 모든 이전 버전은 영향을 받는다고 말하며 수정 사항은 gzip 버전 1.12에서 찾을 수 있습니다.
GitHub, 공급망 버그 탐지 기능 도입
GitHub는 최근 끌어오기 요청에서 종속성 변경 사항을 검색하고 새로운 종속성에 알려진 공급망 취약성이 있는 경우 오류를 발생시키는 종속성 검토 작업을 도입했습니다. 이 작업은 API 두 개정 간의 종속성을 분산시키는 끝점입니다. GitHub 권고 데이터베이스에 대한 종속성 변경에 대한 끌어오기 요청을 검사하여 새로운 종속성에 취약점이 발생하는지 확인합니다.
이 작업은 이미 존재할 수 있는 취약성에 대해 보고하는 대신 환경에 도입되는 취약성에 대해 경고하기 때문에 기존 Dependabot 도구에 대한 추가 조치로 볼 수 있습니다.
종속성 검토 작업은 현재 공개 베타 버전이며 GitHub 고급 보안에 대한 라이선스가 있는 GitHub Enterprise Cloud를 사용하는 조직에 속한 모든 공용 리포지토리 및 개인 리포지토리에 사용할 수 있습니다.
트뤼플 시큐리티, 트뤼플호그 v3 소개
TruffleHog는 Truffle Security가 개발 한 도구이며 탐지하는 데 사용됩니다. API 키, 암호 및 Git에 커밋 된 기타 비밀. 4월 4일, 트뤼플 시큐리티의 딜런 아이레이는 트뤼플호그 v3를 소개했다. 새 버전은 완전히 다시 작성되었습니다. Go 많은 새로운 강력한 기능을 소개합니다. 가장 주목할만한 변경 사항으로는 각 API에 대한 활성 검증을 지원하는 600 개 이상의 자격 증명 탐지기 와 GitHub, GitLab, 파일 시스템 스캔에 대한 기본 지원이 포함됩니다. S3.
조금 더 깊이 들어가면 스캐너의 런타임 속도 향상에 대해 언급합니다. 특히, 모든 비밀 탐지기는 이제 GitLeaks에서 영감을 얻은 git 스캐닝에 대한 전반적인 개선 사항을 추가하여 문자열 비교로 프리 플라이트되었습니다.
프로젝트의 저장소는 https://github.com/trufflesecurity/trufflehog 에서 찾을 수 있습니다.
내용