Charlie Osborne 26 Ocak 2023, 13:52 UTC
Güncellendi: 26 Ocak 2023, 13:55 UTC
61.000’den fazla güvenlik açığı yamalandı ve artmaya devam ediyor
Trellix, süreci önemli ölçüde hızlandıran otomatikleştirilmiş bir aracın yardımıyla ciddi bir Python hatasına karşı 61.000’den fazla açık kaynak projesini yamaladı.
Geçen yıl, Trellix Gelişmiş Araştırma Merkezi ekibi, Python’un tarfile modülüne yerleştirilmiş 15 yıllık bir güvenlik açığına rastladı. CVE-2007-4559 olarak izlenen güvenlik açığı, “kullanıcı destekli uzak saldırganların” “bir TAR arşivindeki dosya adlarında bir .. (nokta nokta) dizisi” aracılığıyla rastgele dosyaların üzerine yazabilmesine yol açan bir yol geçişi sorunu olarak tanımlanıyor.
ARKA FON 2007’deki Tarfile yolu geçiş hatası, 350 bin açık kaynak deposunda hala mevcut
Trellix araştırmacısı Douglas McKee’ye göre, güvenlik açığı 2017’de bildirilmiş olsa da “kontrol edilmeden bırakılmıştı” veya çözülmemişti. Sonuç olarak, güvenlik açığı farkında olmadan yaklaşık 350.000 açık kaynak projesine dahil edilmiştir ve birçok kapalı kaynak projesinde “yaygın” olarak kabul edilmektedir.
Bununla birlikte, 23 Ocak tarihli bir blog gönderisinde belgelendiği gibi, Trellix, bu kadar çok projenin savunmasız olduğu düşünüldüğünde zorlu bir iş olan kusuru kontrol altına almak için GitHub ile birlikte çalışıyor.
“Savunmasız tarfile modülü, temel Python paketine dahil edilmiştir. […] ayrıca, Python’dan doğrudan bir düzeltme olmaksızın, birçok projenin tedarik zincirine sıkı bir şekilde yerleştirilmiştir,” diyor siber güvenlik şirketi.
Kasimir Schulz ve Charles McFarland liderliğindeki aylarca süren proje, savunmasız kod içeren açık kaynak havuzlarının otomatik olarak yamalanmasına odaklandı.
Toplu istek çekme taktiği
Görünüşe göre ilham, Jonathan Leitschuh’un açık kaynak güvenlik açıklarını düzeltmek için ölçeklenebilir bir metodoloji olarak otomatik toplu çekme talebi oluşturmayı tartışan DEFCON 2022 sunumundan geldi.
Trellix ve GitHub, süreci iki aşamaya ayırdı; her ikisi de otomatikleştirilmişti ve yalnızca yürütülmesi gerekiyordu, kalite kontrolü ve kabulü proje sahiplerine bırakılmıştı.
İlk adım, yamanın kendisini geliştirmekti. Trellix, “tarf dosyasını içe aktar” anahtar kelimesini içeren depoların ve dosyaların bir listesini elde etti ve ardından Creosote kullanarak her depoyu klonlayıp taradı.
McKee, “Bir havuzun güvenlik açığı içerdiği belirlenirse, dosyayı yamaladık ve kullanıcıların iki dosyayı, orijinal dosyayı ve havuzla ilgili bazı meta verileri kolayca karşılaştırabilmesi için yamalı dosyayı içeren bir yerel yama farkı oluşturduk” dedi.
İLİŞKİLİ Yaygın güvenlik açıklarını geniş ölçekte yamalama: proje, toplu çekme istekleri vaat ediyor
Çekme isteği aşamasında, siber güvenlik ekibi depo çatalları oluşturdu, bunları klonladı ve orijinal dosya değişmediyse orijinal dosyayı yamalı sürümle değiştirdi. Bu kontrol, yamalı değiştirmenin proje koduna yapılan son eklemeleri yok saymasını veya bunların üzerine yazmasını önlemek için uygulandı.
Son olarak, dosya işlendi, bir çekme isteği oluşturuldu ve çatalı açıklayan ve sahibinden değişiklikleri kabul etmesini veya reddetmesini isteyen bir mesaj gönderildi.
Çoğaltmak
Ile konuşmak günlük yudumTrellix’in Gelişmiş Araştırma Merkezi’nde güvenlik açığı araştırmacısı olan Kasimir Schulz, Creosote ve yamacının birlikte depo taramaları gerçekleştirebileceğini, hatayı tespit edip birkaç saniye içinde bir yama uygulayabileceğini, oysa en yetenekli geliştiricinin bile aynı şeyi yapmasının dakikalar alacağını söyledi. aracın yardımı olmadan.
Schulz, “Bu fark, bir avuç depo için çok önemli olmasa da, ölçek arttıkça hızla hissedilebilir” dedi.
Trellix ekibi, GitHub aracılığıyla bugüne kadar 61.895 açık kaynaklı projeye yama uyguladı.
Schulz, ShmooCon’daki son tartışmaların, güvenlik açığının Python’da yamalanması için “yeni bir ivme” yarattığını ve hatta “düzeltme karşılığında finansal bir ödül sunulma olasılığının” olabileceğini söyledi.
Schulz şu sonuca vardı: “Yazılım ve tedarik zincirleri giderek daha karmaşık hale geliyor. Tonlarca farklı yazılım geliştiren daha fazla kişi ve şirket var. Bu nedenle, saldırı yüzeyini azaltmaya çalışmak kaybedilen bir savaştır. Bunun yerine, kazanılamayacak bir savaşta zaman kaybetmek yerine saldırı yüzeyini güvence altına alarak otomatik araçlarla kendi tedarik zincirlerimizi denetlemeye odaklanmalıyız.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Git güvenlik denetimi, kritik taşma hatalarını ortaya koyuyor