今週は、GNU gzip の zgrep ユーティリティにおける深刻度の高い脆弱性、サプライチェーンのバグを可視化する GitHub の新機能、および Git リポジトリ内の秘密をスキャンするツール TruffleHog の大幅な更新について説明します。
gzip の zgrep ユーティリティにおける任意のファイル書き込みの脆弱性
CVE-2022-1271 は、GNU gzip の zgrep ユーティリティに見つかった、任意のファイル書き込みの脆弱性です。zgrep が、敵の選んだファイル名に対して適用された場合、攻撃者が選んだ任意のファイルに、攻撃者のコンテンツを上書きすることが可能です。
この同じ脆弱性は、Tukaani XZ Utils の 5.2.5, 5.3.1alpha, 5.3.2alpha までのバージョンにある xzgrep にも影響します。このバグは、gzip の zgrep から継承されたものだという。
この脆弱性は、トレンドマイクロのZero Day Initiativeに参加している「cleemy desu wayo」によって発見されました。
根本原因 - この欠陥は、2つ以上の改行があるファイル名を処理する際の不十分な検証のために発生します。攻撃者は、ターゲットとなるファイル名と、そのファイルに対して希望する内容の両方を含む、複数行のファイル名を作成することができます。この不具合により、遠隔地にいる低権限の攻撃者に、zgrepで任意のファイルを書き込むことを強要される可能性があります。
このバグはgzip-1.3.10で導入され、比較的悪用されにくいとされています。以前のバージョンもすべて影響を受けると言われており、その修正はgzip バージョン1.12 で見つけることができます。
GitHub、サプライチェーンのバグを検出する機能を導入
このアクションは、プルリクエストの依存関係の変更をスキャンし、新しい依存関係に既知のサプライチェーンの脆弱性がある場合はエラーを発生させます。このアクションは、API のエンドポイントでサポートされており、二つのリビジョン間の依存関係を差分します。依存関係の変更に関するプルリクエストをGitHub Advisory Databaseと照らし合わせてスキャンし、新しい依存関係に脆弱性がないかどうかを確認します。
このアクションは、すでに存在する可能性のある脆弱性を報告するのではなく、お客様の環境に導入される脆弱性について警告するもので、既存のDependabotツールの追加対策と言えます。
Dependency Review アクションは現在パブリックベータ版で、すべてのパブリックリポジトリと、GitHub Advanced Security のライセンスを取得して GitHub Enterprise Cloud を使用している組織に属するプライベートリポジトリで利用可能です。
Truffle Security、「TruffleHog v3」を発表
TruffleHogはTruffle Securityが開発したツールで、Gitにコミットされた鍵やパスワード、その他の秘密を検出するために使われる。 API 4月4日、Truffle SecurityのDylan Ayrey氏がTruffleHog v3を発表した。4月4日、Truffle Security社のDylan Ayrey氏がTruffleHog v3を発表した。新バージョンはGo 、完全に書き直され、多くの強力な新機能が導入されている。最も注目すべき変更点としては、それぞれのAPIに対するアクティブな検証をサポートする600以上のクレデンシャル検出器や、GitHub、GitLab、ファイルシステム、S3 のスキャンのネイティブ・サポートがある。
もう少し深く掘り下げると、スキャナーの実行速度の改善について言及しています。注目すべきは、GitLeaksに触発されたgitスキャンの全体的な改良に加え、すべての秘密検出器が文字列比較でプリフライトされるようになったことです。
このプロジェクトのリポジトリは、https://github.com/trufflesecurity/trufflehog。
コメント