人気のmacOSパッケージインストーラーHomebrewが、深刻な脆弱性を修正しました。GitHubトークンが誤って公開されてしまうという脆弱性です。幸いにも、育児休暇中のチームメンバーが、子供が昼寝をしている間にこの脆弱性を修正することができました。
Homebrew は Debian と同じことを macOS に対して行いますapt-get。つまり、便利な App Store イメージとして提供されていないもののための便利なインストーラーです。
プロジェクトは情報開示の中で次のように説明しています。「最近、スコープが昇格された GitHub 個人アクセス トークンが Homebrew の Jenkins から漏洩し、これにより [研究者] は Homebrew/brew および Homebrew/homebrew-core で git push にアクセスできるようになりました。」
この問題を発見したエリック・ホームズ氏は、30 分で Homebrew にアクセスできたと書いています。
問題の資格情報が公開されたのは、「『Homebrew Bottles』プロジェクトのビルドが BrewTestBot/homebrew-core リポジトリに認証されたプッシュを行っていた」ためであり、それらのプッシュの資格情報 (GitHub API トークン) は Homebrew の Jenkins に保存されていました。
誤って公開されたGitHubトークン。画像:エリック・ホームズ。クリックして拡大
「もし私が30分でコミットのアクセス権を取得できるのなら、専用のリソースを持つ国家が17人のボランティアのチームに対して何を達成できるだろうか?」とホームズ氏は尋ねた。
Homebrew によると、今回のケースではそのようなことは起きていないとのことです。GitHub サポートは、「昇格されたスコープの期間中に、Homebrew/brew または Homebrew/homebrew-core へのプッシュを実行するために関連トークンが使用されていないことを確認しました」。
Homebrew 社によると、これは同社のパッケージが侵害されていないことを証明しており、ユーザーは心配する必要がないという。
また、少人数のボランティアグループでは問題に迅速に対応するのが難しいことも指摘されています。「上記の問題を解決したHomebrewのメンテナーは、育児休暇中で、かつ主に子供の世話をしていたため、子供が昼寝をしている間に迅速な解決策を見つける必要がありました。」
Homebrewは、GitHubで「数年前から2FA」とサードパーティ製アプリケーションの制限を使用しており、「ブランチ保護を有効化し、追加リポジトリのレビューを義務付けた」と述べ、メンテナーに対しアクセストークンの確認と2FAのSMSフォールバックの無効化を要請した。また、リーダーシップグループはHomebrew/homebrew-coreにGPG署名を追加しないことを決議したと述べている。®
