Esta semana, discutiremos uma vulnerabilidade de alta diversidade no utilitário zgrep do GNU gzip, uma nova funcionalidade no GitHub que expande a visibilidade em bugs da cadeia de suprimentos e uma atualização significativa do TruffleHog, uma ferramenta que procura por segredos dentro dos repositórios Git.
Arquivo arbitrário Escrever Vulnerabilidade na Utilidade zgrep do gzip
CVE-2022-1271 é um arquivo arbitrário de vulnerabilidade de escrita encontrado no utilitário zgrep do GNU gzip. Quando o zgrep é aplicado a um nome de arquivo escolhido pelo adversário, ele pode sobrescrever o conteúdo de um atacante em um arquivo arbitrário selecionado pelo atacante.
Esta mesma vulnerabilidade também afeta o xzgrep de Tukaani XZ Utils para versões até 5.2.5, 5.3.1alfa, e 5.3.2alfa inclusive. Diz-se que o bug foi herdado do zgrep do gzip.
Esta vulnerabilidade foi descoberta pelo "cleemy desu wayo" trabalhando com a Iniciativa Dia Zero da Trend Micro.
Causa Raiz - Esta falha ocorre devido à validação insuficiente ao processar nomes de arquivos com duas ou mais linhas novas. O atacante pode criar um nome de arquivo com várias linhas que contenha tanto o nome do arquivo alvo quanto o conteúdo desejado para o arquivo. Esta falha permite que um atacante remoto, de baixo privilégio, force o zgrep a escrever arquivos arbitrários no sistema.
O bug foi introduzido no gzip-1.3.10 e é relativamente difícil de ser explorado. Diz-se que todas as versões anteriores foram afetadas e a correção pode ser encontrada na versão gzip 1.12.
GitHub apresenta a capacidade de detecção de erros na cadeia de suprimentos
GitHub introduziu recentemente a Ação de Revisão de Dependência, que examina seus pedidos de mudança de dependência e levantará um erro se qualquer nova dependência tiver vulnerabilidades conhecidas na cadeia de fornecimento. A ação é suportada por um endpointAPI que difere as dependências entre quaisquer duas revisões. Funciona escaneando as solicitações de puxar as mudanças de dependência contra o Banco de Dados Consultivo GitHub para ver se as novas dependências introduzem vulnerabilidades.
A ação pode ser vista como uma medida adicional à ferramenta Dependabot existente, pois ela alerta sobre vulnerabilidades que estão sendo introduzidas em seu ambiente, em vez de informar sobre vulnerabilidades que já possam existir.
A ação de Revisão de Dependência está atualmente em beta pública e está disponível para todos os repositórios públicos e para repositórios privados pertencentes a organizações que utilizam o GitHub Enterprise Cloud com uma licença para GitHub Advanced Security.
Truffle Security Introduz TruffleHog v3
TruffleHog é uma ferramenta desenvolvida pela Truffle Security e é utilizada para detectar API chaves, senhas e outros segredos que foram cometidos com Git. Em 4 de abril, Dylan Ayrey da Truffle Security apresentou o TruffleHog v3. A nova versão foi completamente reescrita em Go e introduz muitas novas características poderosas. As mudanças mais notáveis incluem mais de 600 detectores de credenciais que suportam verificação ativa contra suas respectivas APIs e suporte nativo para escaneamento do GitHub, GitLab, sistemas de arquivos, e S3.
Mergulhando um pouco mais fundo, menciona melhorias na velocidade de execução do scanner. Notavelmente, todos os detectores secretos são agora pré-programados com comparações de cordas com a adição de melhorias gerais na varredura de gitLeaks inspiradas no GitLeaks.
O repositório para o projeto pode ser encontrado em https://github.com/trufflesecurity/trufflehog.
Comentários