在适用于macOS和Linux的自制软件包管理器中发现关键RCE错误

攻击者可能利用官方Homebrew桶存储库中最近发现的一个安全漏洞，在安装了Homebrew的用户机器上执行任意代码。

4月18日，一位名叫RyotaK的日本安全研究人员向维护人员报告了该问题，该问题源于其GitHub存储库中的代码更改处理方式，导致出现恶意拉取请求—；i、 e.提议的变更—；可以自动审核和批准。该漏洞于4月19日修复。

Homebrew是一个免费的开源软件包管理器解决方案，允许在苹果的macOS操作系统和Linux上安装软件。Homebrew Cask扩展了该功能，包括用于基于GUI的macOS应用程序、字体、插件和其他非开源软件的命令行工作流。

Homebrew的Markus Reiter说：“发现的漏洞将允许攻击者向桶中注入任意代码，并使其自动合并。”。“这是因为吉特迪夫依赖于回顾木桶公关GitHub操作，用于解析pull请求的差异以供检查。由于该缺陷，解析器可能会被欺骗，完全忽略有问题的行，从而成功批准恶意拉取请求。"

换句话说，该漏洞意味着注入Cask存储库的恶意代码在未经任何审查和批准的情况下被合并。

研究人员还提交了一份概念证明（PoC）请求，证明了该漏洞，随后该漏洞被恢复。根据调查结果，Homebrew已从所有易受攻击的存储库中删除了“自动合并”GitHub操作，并禁用和删除了“review cask pr”GitHub操作。

此外，机器人提交自制/cask*存储库的能力已被取消，所有拉取请求都需要维护人员手动审核和批准。无需用户操作。

“如果该漏洞被恶意参与者滥用，在恢复之前，它可能会被用来危害运行brew的机器，”研究人员说。“因此，我强烈认为需要对集中的生态系统进行安全审计。”