本周,我们将讨论 GNU gzip 的 zgrep 工具中的一个高严重性漏洞、GitHub 上可扩展供应链漏洞可见性的新功能,以及 TruffleHog 的重大更新,TruffleHog 是一款扫描 Git 仓库内部秘密的工具。
gzip 的 zgrep 实用程序中的任意文件写入漏洞
CVE-2022-1271 是在 GNU gzip 的 zgrep 工具中发现的任意文件写入漏洞。当 zgrep 应用于攻击者选择的文件名时,它可以将攻击者的内容覆盖到攻击者选择的任意文件中。
同样的漏洞也影响了 Tukaani XZ Utils 的 xzgrep,其版本包括 5.2.5、5.3.1alpha 和 5.3.2alpha。据说该漏洞继承自 gzip 的 zgrep。
该漏洞是由趋势科技零日计划的 "cleemy desu wayo "发现的。
根本原因 - 在处理带有两个或更多换行符的文件名时,由于验证不充分,导致出现此漏洞。攻击者可伪造包含目标文件名和所需文件内容的多行文件名。此漏洞允许远程、低权限攻击者强制 zgrep 在系统上写入任意文件。
该漏洞是在 gzip-1.3.10 中引入的,相对较难利用。据说所有以前的版本都会受到影响,修复方法可在 gzip1.12 版本中找到。
GitHub 推出检测供应链漏洞的功能
GitHub 最近推出了 "依赖关系审查"(Dependency Review Action),它可以扫描您的拉取请求中的依赖关系变更,如果任何新的依赖关系存在已知的供应链漏洞,就会引发错误。该操作由一个API 端点支持,该端点可对任意两个修订版之间的依赖关系进行差异化处理。它的工作原理是根据GitHub 咨询数据库扫描拉取请求中的依赖关系变更,以查看新依赖关系是否引入了漏洞。
该操作可被视为现有Dependabot工具的补充措施,因为它会对正在引入环境中的漏洞发出警报,而不是报告可能已经存在的漏洞。
依赖关系审查 "操作目前处于公开测试阶段,适用于所有公共仓库,也适用于使用 GitHub 企业云并获得 GitHub 高级安全许可的组织所属的私有仓库。
Truffle Security 推出 TruffleHog v3
TruffleHog 是由 Truffle Security 开发的一款工具,用于检测提交到 Git 的 API 密钥、密码和其他秘密。4 月 4 日,来自 Truffle Security 的 Dylan Ayrey 介绍了TruffleHog v3。新版本完全由Go 重写,并引入了许多新的强大功能。最显著的变化包括600 多个凭证检测器支持针对各自的 API 进行主动验证,以及扫描 GitHub、GitLab、文件系统和S3 的本地支持。
再深入一点,它提到了扫描仪运行速度的改进。值得注意的是,受GitLeaks 的启发,所有秘密检测器现在都预检了字符串比较,并对git 扫描进行了全面改进。
注释