Vulnerabilidad en Homebrew Brew (CVE-2024-42381)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/07/2024
Última modificación:
01/08/2024
Descripción
os/linux/elf.rb en Homebrew Brew anterior a 4.2.20 usa ldd para cargar archivos ELF obtenidos de fuentes no confiables, lo que permite a los atacantes lograr la ejecución de código a través de un archivo ELF con una sección .interp personalizada. NOTA: la ejecución de este código ocurriría durante una fase de reubicación binaria sin espacio aislado, que ocurre antes de que un usuario espere la ejecución del contenido del paquete descargado. (237d1e783f7ee261beaba7d3f6bde22da7148b0a fue la versión vulnerable probada).
Impacto
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://blog.trailofbits.com/2024/07/30/our-audit-of-homebrew/
- https://brew.sh/2024/07/30/homebrew-security-audit/
- https://github.com/Homebrew/brew/commit/916b37388d3851a8a93a8e9b4adc38873680ead7
- https://github.com/Homebrew/brew/pull/17136
- https://github.com/Homebrew/brew/releases/tag/4.2.20
- https://github.com/Homebrew/brew/tree/237d1e783f7ee261beaba7d3f6bde22da7148b0a
- https://github.com/trailofbits/publications/blob/master/reviews/2023-08-28-homebrew-securityreview.pdf