Esta semana, discutiremos uma vulnerabilidade de alta severidade no utilitário zgrep do GNU gzip, uma nova funcionalidade no GitHub que expande a visibilidade em bugs da cadeia de fornecimento, e uma actualização significativa do TruffleHog, uma ferramenta que procura segredos dentro dos repositórios Git.
Arquivo arbitrário Escrever Vulnerabilidade na Utilidade zgrep do gzip
CVE-2022-1271 é um ficheiro arbitrário de vulnerabilidade de escrita encontrado no utilitário zgrep do GNU gzip. Quando o zgrep é aplicado a um nome de ficheiro escolhido pelo adversário, pode sobrescrever o conteúdo de um atacante a um ficheiro arbitrário seleccionado pelo atacante.
Esta mesma vulnerabilidade também tem impacto no xzgrep de Tukaani XZ Utils para versões até 5.2.5, 5.3.1alfa, e 5.3.2alfa, inclusive. Dizia-se que o bug era herdado do zgrep do gzip.
Esta vulnerabilidade foi descoberta por "cleemy desu wayo" trabalhando com a Iniciativa Dia Zero da Trend Micro.
Root Cause - Esta falha ocorre devido a validação insuficiente no processamento de nomes de ficheiros com duas ou mais linhas novas. O atacante pode criar um nome de ficheiro com várias linhas que contenha tanto o nome de ficheiro alvo como o conteúdo desejado para o ficheiro. Esta falha permite que um atacante remoto, de baixo privilégio, force o zgrep a escrever ficheiros arbitrários no sistema.
O bug foi introduzido em gzip-1.3.10 e é relativamente difícil de explorar. Diz-se que todas as versões anteriores foram afectadas e a correcção pode ser encontrada na versão gzip 1.12.
GitHub introduz a capacidade de detecção de bugs na cadeia de fornecimento
O GitHub introduziu recentemente a Ação de Revisão de Dependências, que analisa os seus pedidos pull em busca de alterações de dependências e irá levantar um erro se quaisquer novas dependências tiverem vulnerabilidades conhecidas na cadeia de fornecimento. A ação é suportada por um ponto final da API que difere as dependências entre quaisquer duas revisões. Ela funciona examinando pull requests para alterações de dependência em relação ao Banco de Dados Consultivo do GitHub para ver se novas dependências introduzem vulnerabilidades.
A acção pode ser vista como uma medida adicional à ferramenta Dependabot existente, uma vez que alerta sobre vulnerabilidades que estão a ser introduzidas no seu ambiente em vez de informar sobre vulnerabilidades que possam já existir.
A acção Dependency Review está actualmente em fase beta pública e está disponível para todos os repositórios públicos e para repositórios privados pertencentes a organizações que utilizam GitHub Enterprise Cloud com uma licença para GitHub Advanced Security.
Truffle Security Introduz TruffleHog v3
O TruffleHog é uma ferramenta desenvolvida pela Truffle Security e é usada para detetar chaves de API, senhas e outros segredos que foram comprometidos com o Git. Em 4 de abril, Dylan Ayrey da Truffle Security apresentou o TruffleHog v3. A nova versão foi completamente reescrita em Go e introduz muitas novas e poderosas características. As mudanças mais notáveis incluem mais de 600 detectores de credenciais que suportam verificação ativa contra suas respectivas APIs e suporte nativo para escanear GitHub, GitLab, sistemas de arquivos e S3.
Mergulhando um pouco mais fundo, menciona melhorias na velocidade de execução do scanner. Notavelmente, todos os detectores secretos são agora pré-programados com comparações de cordas com a adição de melhoramentos globais à digitalização de gitLeaks inspirados pelo GitLeaks.
O repositório para o projecto pode ser encontrado em https://github.com/trufflesecurity/trufflehog.
Comentários