Esta semana, discutiremos uma vulnerabilidade de alta diversidade no utilitário zgrep do GNU gzip, uma nova funcionalidade no GitHub que expande a visibilidade em bugs da cadeia de suprimentos e uma atualização significativa do TruffleHog, uma ferramenta que procura por segredos dentro dos repositórios Git.
Arquivo arbitrário Escrever Vulnerabilidade na Utilidade zgrep do gzip
CVE-2022-1271 é um arquivo arbitrário de vulnerabilidade de escrita encontrado no utilitário zgrep do GNU gzip. Quando o zgrep é aplicado a um nome de arquivo escolhido pelo adversário, ele pode sobrescrever o conteúdo de um atacante em um arquivo arbitrário selecionado pelo atacante.
Esta mesma vulnerabilidade também afeta o xzgrep de Tukaani XZ Utils para versões até 5.2.5, 5.3.1alfa, e 5.3.2alfa inclusive. Diz-se que o bug foi herdado do zgrep do gzip.
Esta vulnerabilidade foi descoberta pelo "cleemy desu wayo" trabalhando com a Iniciativa Dia Zero da Trend Micro.
Causa Raiz - Esta falha ocorre devido à validação insuficiente ao processar nomes de arquivos com duas ou mais linhas novas. O atacante pode criar um nome de arquivo com várias linhas que contenha tanto o nome do arquivo alvo quanto o conteúdo desejado para o arquivo. Esta falha permite que um atacante remoto, de baixo privilégio, force o zgrep a escrever arquivos arbitrários no sistema.
O bug foi introduzido no gzip-1.3.10 e é relativamente difícil de ser explorado. Diz-se que todas as versões anteriores foram afetadas e a correção pode ser encontrada na versão gzip 1.12.
GitHub apresenta a capacidade de detecção de erros na cadeia de suprimentos
O GitHub introduziu recentemente a Ação de Revisão de Dependência, que examina suas solicitações pull em busca de alterações de dependência e gerará um erro se qualquer nova dependência tiver vulnerabilidades conhecidas na cadeia de suprimentos. A ação é suportada por um ponto de extremidadeAPI que difere as dependências entre quaisquer duas revisões. Ela funciona examinando as solicitações pull para alterações de dependência em relação ao Banco de Dados Consultivo do GitHub para ver se as novas dependências introduzem vulnerabilidades.
A ação pode ser vista como uma medida adicional à ferramenta Dependabot existente, pois ela alerta sobre vulnerabilidades que estão sendo introduzidas em seu ambiente, em vez de informar sobre vulnerabilidades que já possam existir.
A ação de Revisão de Dependência está atualmente em beta pública e está disponível para todos os repositórios públicos e para repositórios privados pertencentes a organizações que utilizam o GitHub Enterprise Cloud com uma licença para GitHub Advanced Security.
Truffle Security Introduz TruffleHog v3
O TruffleHog é uma ferramenta desenvolvida pela Truffle Security e é usada para detectar API chaves, senhas e outros segredos que foram enviados para o Git. Em 4 de abril, Dylan Ayrey, da Truffle Security, apresentou o TruffleHog v3. A nova versão foi totalmente reescrita em Go e apresenta muitos novos recursos avançados. As alterações mais notáveis incluem mais de 600 detectores de credenciais que suportam verificação ativa em relação às suas respectivas APIs e suporte nativo para varredura do GitHub, GitLab, sistemas de arquivos e S3.
Mergulhando um pouco mais fundo, menciona melhorias na velocidade de execução do scanner. Notavelmente, todos os detectores secretos são agora pré-programados com comparações de cordas com a adição de melhorias gerais na varredura de gitLeaks inspiradas no GitLeaks.
O repositório para o projeto pode ser encontrado em https://github.com/trufflesecurity/trufflehog.
Comentários