Homebrew-Audit enthüllt Sicherheitslücken – die meisten hat das Team geschlossen
Ein umfangreiches Security-Audit hat Schwachstellen im Code und den CI/CD-Prozessen des Paketmanagers Homebrew gefunden. Viele, aber nicht alle, sind gefixt.
- Robert Lippert
Das Homebrew-Team hat auf die Ergebnisse eines unabhängigen Security-Audits hingewiesen. Der hat 25 Schwachstellen aufgedeckt, von denen inzwischen bereits 16 behoben sein sollen. Drei weitere sind aktuell in Bearbeitung und weitere sechs konnte Homebrew ebenfalls bestätigen.
Homebrew ist ein weitverbreiteter Open-Source-Paketmanager und insbesondere auf macOS beliebt, das keine nativen Paketverwaltungssysteme wie Linux hat. Die offizielle Website bezeichnet ihn als "den fehlenden Paketmanager für macOS". Auf Apples Betriebssystem gilt er mit mehreren hundert Millionen Paketinstallationen pro Jahr weltweit quasi als Standard-Paketmanager. Dementsprechend relevant sind die im Audit vorgestellten Details.
Die gute Nachricht: Keine kritischen Schwachstellen entdeckt
Der Securitydienstleister Trail of Bits, der das Audit im Auftrag des Open Technology Fund unabhängig durchführte, entdeckte nach eigenen Angaben keine kritischen Schwachstellen in Homebrew. Gleichwohl könnten Angreifer ausführbaren Code an unerwarteten Stellen laden und damit die Integrität des Systems beeinträchtigen, die normalerweise durch die Verwendung von Sandbox-Techniken geschützt ist.
Auch im CI/CD-Prozess von Homebrew wurden Sicherheitsprobleme gefunden. Diese könnten es Angreifern ermöglichen, die von Homebrew erstellten Binärdateien („Bottle Builds“) heimlich zu modifizieren. Damit wären sie in der Lage, nicht nur CI/CD-Workflows auszulösen, sondern auch deren Ausführung zu kontrollieren und sensible Informationen zu stehlen.
Die meisten dieser Schwachstellen wurden inzwischen behoben, wie es das Homebrew-Team auch transparent kommuniziert. Interessierten Anwendern sei in dem Zusammenhang auch der umfängliche Report zum Homebrew Security Assessment empfohlen, der als PDF über GitHub zur Verfügung steht.
Trail of Bits und das Homebrew-Team weisen gemeinsam darauf hin, dass es in der Natur von Paketmanagern liegt, dass sie Code aus externen Quellen beziehen und die schwierige Abgrenzung zwischen erwarteten und unerwarteten Codeausführungen grundsätzlich ein inhärentes Sicherheitsrisiko birgt. Insgesamt wird Homebrew jedoch als reifes System bewertet, insbesondere in Bezug auf die reduzierte Notwendigkeit für menschliche Eingriffe im Lebenszyklus der Pakete. Wenn jedoch Insider oder böswillige Maintainer die Integrität und die Isolationsmechanismen des CI/CD-Systems untergraben, können die Maßnahmen nicht ausreichend schützen.
(rme)