本周,我们将讨论GNU gzip的zgrep工具中的一个高危漏洞,GitHub上扩大供应链漏洞可见度的新功能,以及TruffleHog的重大更新,这是一个扫描Git存储库内秘密的工具。
gzip的zgrep工具存在任意写入文件的漏洞
CVE-2022-1271是GNU gzip的zgrep工具中发现的一个任意文件写入漏洞。当zgrep被应用于对手选择的文件名时,它可以将攻击者的内容覆盖到攻击者选择的任意文件。
这个漏洞也影响到了Tukaani XZ Utils的xzgrep,其版本包括5.2.5、5.3.1alpha和5.3.2alpha。据说这个漏洞是从gzip的zgrep继承来的。
这个漏洞是由 "cleemy desu wayo "与趋势科技的零日计划合作发现的。
根源 - 这个缺陷是由于在处理有两个或更多换行符的文件名时没有进行充分验证。攻击者可以制作一个多行文件名,其中包含目标文件名和他们想要的文件内容。这个缺陷允许远程低权限的攻击者强迫zgrep在系统上写入任意文件。
这个错误是在gzip-1.3.10中引入的,相对来说很难被利用。据说所有以前的版本都受到影响,修复方法可以在gzip1.12版本中找到。
GitHub引入了检测供应链漏洞的能力
GitHub最近推出了依赖性审查行动,它扫描你的拉动请求的依赖性变化,如果任何新的依赖性有已知的供应链漏洞,就会引发错误。该行动由一个API 端点支持,该端点可对任何两个修订版之间的依赖关系进行比较。它的工作原理是根据GitHub咨询数据库扫描依赖关系变化的拉动请求,以查看新的依赖关系是否引入漏洞。
该行动可被视为现有Dependabot工具的附加措施,因为它对正在被引入你的环境中的漏洞发出警报,而不是报告可能已经存在的漏洞。
依赖性审查动作目前处于公开测试阶段,适用于所有公共仓库,以及属于使用GitHub企业云并获得GitHub高级安全许可的组织的私有仓库。
Truffle Security推出TruffleHog v3
TruffleHog是由Truffle Security开发的工具,用于检测API 密钥、密码和其他被提交到Git的秘密。4月4日,来自Truffle Security的Dylan Ayrey介绍了TruffleHog v3。新版本完全是用Go ,并引入了许多新的强大功能。最明显的变化包括600多个支持针对各自API的主动验证的凭证检测器,以及对扫描GitHub、GitLab、文件系统和S3 的本地支持。
再深入一点,它提到了对扫描仪运行速度的改进。值得注意的是,现在所有的秘密探测器都是用字符串比较来预检的,另外还有受GitLeaks启发的对git扫描的全面改进。
注释