Notebookcheck Logo

"GerriScary" sebezhetőség a Gerritben, ami kódintegritási kockázatot jelentett a Google kulcsfontosságú projektjeiben

Egy fejlesztő navigál az összetett forráskód munkafolyamatokban, ahol a jogosultságok hibás beállításai és az automatizálás olyan csendes kockázatokat rejthet, mint a Google Gerrit-alapú projektjeiben felfedezett GerriScary sebezhetőség (Kép forrása: Freepik)
Egy fejlesztő navigál az összetett forráskód munkafolyamatokban, ahol a jogosultságok hibás beállításai és az automatizálás olyan csendes kockázatokat rejthet, mint a Google Gerrit-alapú projektjeiben felfedezett GerriScary sebezhetőség (
A Google nyílt forráskódú kódellenőrző rendszerének hibás beállítása legalább 18 projektben tette lehetővé a kód jogosulatlan felülvizsgálatát, ami biztonsági frissítéseket és szélesebb körű figyelmeztetéseket eredményezett a Gerrit felhasználók számára.
Open Source Security Software

A Google és mások által használt nyílt forráskódú kódellenőrző rendszer, a Gerrit nemrégiben felfedett sebezhetősége lehetőséget adhatott arra, hogy nem engedélyezett kódot vigyenek be kritikus szoftverprojektekbe a szabványos jóváhagyási folyamatok nélkül. A Tenable biztonsági kutatói felfedték, hogy a hiba a rosszul konfigurált jogosultságokból és a felülvizsgálati címkék logikájából ered. Bizonyos konfigurációkban a támadók az "addPatchSet" nevű funkciót kihasználva módosíthatták a már jóváhagyott módosításokat, és így rosszindulatú kódot vihetnek be anélkül, hogy újbóli felülvizsgálatot váltanának ki.

A CybersecurityAsia.net külön jelentése szerint megerősítette, hogy a támadók megkerülhetik a manuális felülvizsgálati fázisokat, és automatizált eszközökkel, felhasználói beavatkozás nélkül, jogosulatlan kódot illeszthetnek be.

Legalább 18 kiemelt jelentőségű adattárat azonosítottak sebezhetőnek, köztük a Chromiumhoz, a Darthoz, a Bazelhez és más infrastrukturális komponensekhez kapcsolódó projekteket. A probléma egy versenyfeltételt is érintett az automatizált benyújtási folyamatban, amely lehetővé tette a támadók számára, hogy a kód egyesítése előtti rövid időablakon belül cselekedjenek.

A nyilvánosságra hozatal idején a sebezhetőséget nem használták ki a vadonban. A Tenable felelős tesztelést végzett jóindulatú kóddal, és nem kísérelte meg a sebezhetőség teljes, végponttól végpontig tartó kihasználását.

A Google azóta konfigurációs változtatásokat hajtott végre a probléma enyhítésére. Eközben a Tenable arra figyelmeztetett, hogy a Gerritet használó más nyílt forráskódú projekteknek is érdemes felülvizsgálniuk a konfigurációikat, mivel hasonló beállítások máshol is létezhetnek, és azt ajánlja, hogy minden Gerrit-felhasználó ellenőrizze az engedélyezési szabályokat és a címkefenntartási irányelveket a kód integritásának biztosítása érdekében. A mögöttes hibás konfigurációk más, Gerritet használó szervezeteket is érinthetnek, különösen ott, ahol alapértelmezett jogosultsági beállítások és automatizált kódbeadási folyamatok vannak érvényben. Ez az incidens kiemeli a biztonságos fejlesztési környezetek folyamatos fontosságát a nyílt forráskódú ökoszisztémában.

Orr mikrorobotok sikeresen kezelik ...
Please share our article, every link counts!
Mail Logo
> Magyarország - Kezdőlap > Newsarchive 2025 06 > "GerriScary" sebezhetőség a Gerritben, ami kódintegritási kockázatot jelentett a Google kulcsfontosságú projektjeiben
Louise Burke, 2025-06-29 (Update: 2025-06-29)