Global Preloader
Noticia Internacional
(09/Aug/2018) Repositorios de Homebrew expuestos por API de Github filtrada

Repositorios de Homebrew expuestos por API de Github filtrada

Un token de la API de GitHub filtrado de Jenkins de Homebrew proporcionó a un investigador de seguridad acceso a repositorios de software de Homebrew.

Desde 2009, Homebrew es un sistema de gestión de paquetes de software gratuito y de código abierto que se integra con la línea de comandos y que permite la instalación sencilla de software en máquinas macOS.

El 31 de julio de 2018, el investigador de seguridad Eric Holmes descubrió que un token expuesto le proporcionaba acceso de confirmación a repositorios Homebrew/brew, Homebrew/homebrew-core y Homebrew/formulae.brew.sh.

Con cientos de miles de personas que usan Homebrew, el impacto potencial del compromiso fue desastroso. Al modificar un paquete muy popular, como openssl, el investigador podría haber enviado el código malicioso directamente a una gran cantidad de usuarios.

El problema, que se abordó el mismo día en que se descubrió, no dió como resultado paquetes comprometidos, revela el responsable principal de Homebrew, Mike McQuaid.

El token expuesto tenía alcances elevados, pero el equipo de asistencia de GitHub ha verificado que no se ha utilizado para realizar ningún cambio a Homebrew/ brew o Homebrew/homebrew-core.

Además de habilitar una protección ramificada y requerir revisiones en repositorios adicionales, el equipo de Homebrew también requirió que todos los encargados del mantenimiento revisen y eliminen sus tokens de acceso personal y deshabiliten el respaldo de SMS para la autenticación de doble factor 2FA.