Homebrew: Sicherheitsforscher konnte beliebten macOS-Paketmanager manipulieren

Ein ungeschützter Access-Token erlaubte Fremdzugriff auf wichtige Verzeichnisse des Paketmanagers. Die Lücke wurde gestopft.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Homebrew
Lesezeit: 2 Min.
Von
  • Leo Becker

Die quelloffene, für macOS gedachte Paketverwaltung Homebrew hat eine Schwachstelle gestopft, die die Manipulation zentraler Verzeichnisse ermöglichte. Auf einer von Homebrew eingesetzten Jenkins-Instanz war ein öffentlich zugänglicher und ungeschützter Access-Token für Github zu finden, wie der Sicherheitsforscher Eric Holmes erklärte. Dies habe ihm die Fähigkeit eingeräumt, Änderungen in den zentralen Homebrew-Repositories Homebrew/brew, Homebrew/homebrew-core und Homebrew/formulae.brew.sh einzupflegen.

Es wäre ein leichtes gewesen, eine kleine Anpassung der Homebrew-Formel für OpenSSL vorzunehmen und so eine Hintertür auf jedem Mac einzuschleusen, der das Paket über Homebrew frisch bezieht, betonte Holmes, das Auffinden der Schwachstelle habe nur 30 Minuten gedauert.

Man habe nach der Kontaktaufnahme durch Holmes umgehend die Zugangsdaten des Access-Tokens zurückgezogen und darauf geachtet, dass dieser in Zukunft nicht mehr preisgegeben wird, teilte ein Homebrew-Entwickler mit. Nicht-Adminstratoren sollen außerdem nicht mehr in der Lage sein, direkte Änderungen an master in den Verzeichnissen Homebrew/brew und Homebrew/homebrew-core vorzunehmen.

In einer Jenkins-Instanz stieß der Sicherheitsforscher auf den ungeschützten Github-Access-Token.

(Bild: Eric Holmes)

In Zusammenarbeit mit Github habe man zudem verifiziert, dass über den ungeschützten Access-Token keinerlei Änderungen an den Repositories vorgenommen wurden: ”Es wurden keine Pakete kompromittiert und Nutzer brauchen in Reaktion auf die Lücke nichts weiter unternehmen”, betonte Homebrews Lead-Maintainer Mike McQuaid.

Man tue sein bestes, um die eigenen Nutzer zu schützen und schnell auf Sicherheitslücken zu reagieren, dies sei durch fehlende Ressourcen aber "erheblich eingeschränkt".

Paketmanager und Leaks von Zugangsdaten seien ein genereller Schwachpunkt in der Sicherheit des Internets, merkt der Sicherheitsforscher an. Dabei handele es sich um keine spezifische Schwäche von Homebrew, sondern ein systemisches Problem, schreibt Holmes unter Verweis auf vorausgehende Angriffe etwa auf den Github-Dienst von Gentoo Linux. Die Branche müsse unbedingt mehr für zentrale Open-Source-Software tun, so Holmes – Nutzer von Homebrew sollten ihren Arbeitgeber bitte, an das Projekt zu spenden. (lbe)