Die quelloffene, für macOS gedachte Paketverwaltung Homebrew hat eine Schwachstelle gestopft, die die Manipulation zentraler Verzeichnisse ermöglichte. Auf einer von Homebrew eingesetzten Jenkins-Instanz war ein öffentlich zugänglicher und ungeschützter Access-Token für Github zu finden, wie der Sicherheitsforscher Eric Holmes erklärte. Dies habe ihm die Fähigkeit eingeräumt, Änderungen in den zentralen Homebrew-Repositories Homebrew/brew, Homebrew/homebrew-core und Homebrew/formulae.brew.sh einzupflegen.
Anzeige
Manipulation zentraler Verzeichnisse möglich
Es wäre ein leichtes gewesen, eine kleine Anpassung der Homebrew-Formel für OpenSSL vorzunehmen und so eine Hintertür auf jedem Mac einzuschleusen, der das Paket über Homebrew frisch bezieht, betonte Holmes, das Auffinden der Schwachstelle habe nur 30 Minuten gedauert.
Man habe nach der Kontaktaufnahme durch Holmes umgehend die Zugangsdaten des Access-Tokens zurĂĽckgezogen und darauf geachtet, dass dieser in Zukunft nicht mehr preisgegeben wird, teilte ein Homebrew-Entwickler mit. Nicht-Adminstratoren sollen auĂźerdem nicht mehr in der Lage sein, direkte Ă„nderungen an master in den Verzeichnissen Homebrew/brew und Homebrew/homebrew-core vorzunehmen.
Homebrew: "Keine Pakete kompromittiert"
In einer Jenkins-Instanz stieĂź der Sicherheitsforscher auf den ungeschĂĽtzten Github-Access-Token.
(Bild:Â Eric Holmes)
In Zusammenarbeit mit Github habe man zudem verifiziert, dass über den ungeschützten Access-Token keinerlei Änderungen an den Repositories vorgenommen wurden: ”Es wurden keine Pakete kompromittiert und Nutzer brauchen in Reaktion auf die Lücke nichts weiter unternehmen”, betonte Homebrews Lead-Maintainer Mike McQuaid.
Anzeige
Man tue sein bestes, um die eigenen Nutzer zu schützen und schnell auf Sicherheitslücken zu reagieren, dies sei durch fehlende Ressourcen aber "erheblich eingeschränkt".
Paketmanager und Leaks von Zugangsdaten seien ein genereller Schwachpunkt in der Sicherheit des Internets, merkt der Sicherheitsforscher an. Dabei handele es sich um keine spezifische Schwäche von Homebrew, sondern ein systemisches Problem, schreibt Holmes unter Verweis auf vorausgehende Angriffe etwa auf den Github-Dienst von Gentoo Linux. Die Branche müsse unbedingt mehr für zentrale Open-Source-Software tun, so Holmes – Nutzer von Homebrew sollten ihren Arbeitgeber bitte, an das Projekt zu spenden.
(lbe)
5 Monate Wissensvorsprung sichern: heise+ 5 Monate für je 5 € testen. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen. Nur für kurze Zeit!5 Monate Wissensvorsprung sichern: heise+ 5 Monate zum exklusiven Vorteilspreis von je 5 € testen und brandaktuelles IT- und Tech-Wissen sichern. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen. Nur für kurze Zeit!
