Esta semana, discutiremos uma vulnerabilidade de alta severidade no utilitário zgrep do GNU gzip, uma nova funcionalidade no GitHub que expande a visibilidade em bugs da cadeia de fornecimento, e uma actualização significativa do TruffleHog, uma ferramenta que procura segredos dentro dos repositórios Git.
Arquivo arbitrário Escrever Vulnerabilidade na Utilidade zgrep do gzip
CVE-2022-1271 é um ficheiro arbitrário de vulnerabilidade de escrita encontrado no utilitário zgrep do GNU gzip. Quando o zgrep é aplicado a um nome de ficheiro escolhido pelo adversário, pode sobrescrever o conteúdo de um atacante a um ficheiro arbitrário seleccionado pelo atacante.
Esta mesma vulnerabilidade também tem impacto no xzgrep de Tukaani XZ Utils para versões até 5.2.5, 5.3.1alfa, e 5.3.2alfa, inclusive. Dizia-se que o bug era herdado do zgrep do gzip.
Esta vulnerabilidade foi descoberta por "cleemy desu wayo" trabalhando com a Iniciativa Dia Zero da Trend Micro.
Root Cause - Esta falha ocorre devido a validação insuficiente no processamento de nomes de ficheiros com duas ou mais linhas novas. O atacante pode criar um nome de ficheiro com várias linhas que contenha tanto o nome de ficheiro alvo como o conteúdo desejado para o ficheiro. Esta falha permite que um atacante remoto, de baixo privilégio, force o zgrep a escrever ficheiros arbitrários no sistema.
O bug foi introduzido em gzip-1.3.10 e é relativamente difícil de explorar. Diz-se que todas as versões anteriores foram afectadas e a correcção pode ser encontrada na versão gzip 1.12.
GitHub introduz a capacidade de detecção de bugs na cadeia de fornecimento
GitHub introduziu recentemente a Acção de Revisão de Dependência, que analisa os seus pedidos de alterações de dependência e levantará um erro se qualquer nova dependência tiver vulnerabilidades conhecidas na cadeia de fornecimento. A acção é apoiada por um ponto finalAPI que difere as dependências entre quaisquer duas revisões. Funciona através da varredura de pedidos de extracção de alterações de dependência contra a Base de Dados Consultiva de GitHub para ver se novas dependências introduzem vulnerabilidades.
A acção pode ser vista como uma medida adicional à ferramenta Dependabot existente, uma vez que alerta sobre vulnerabilidades que estão a ser introduzidas no seu ambiente em vez de informar sobre vulnerabilidades que possam já existir.
A acção Dependency Review está actualmente em fase beta pública e está disponível para todos os repositórios públicos e para repositórios privados pertencentes a organizações que utilizam GitHub Enterprise Cloud com uma licença para GitHub Advanced Security.
Truffle Security Introduz TruffleHog v3
TruffleHog é uma ferramenta desenvolvida pela Truffle Security e é utilizada para detectar API chaves, passwords, e outros segredos que foram cometidos com Git. A 4 de Abril, Dylan Ayrey da Truffle Security apresentou TruffleHog v3. A nova versão foi completamente reescrita em Go e introduz muitas novas características poderosas. As alterações mais notáveis incluem mais de 600 detectores de credenciais que suportam verificação activa contra as suas respectivas APIs e suporte nativo para a digitalização de GitHub, GitLab, sistemas de ficheiros, e S3.
Mergulhando um pouco mais fundo, menciona melhorias na velocidade de execução do scanner. Notavelmente, todos os detectores secretos são agora pré-programados com comparações de cordas com a adição de melhoramentos globais à digitalização de gitLeaks inspirados pelo GitLeaks.
O repositório para o projecto pode ser encontrado em https://github.com/trufflesecurity/trufflehog.
Comentários