Package Manager – IoT OT Security News

NixOS の脆弱性 CVE-2024-45593 が FIX：不正なファイル操作が生じる恐れ

Critical Flaw in NixOS Package Manager: CVE-2024-45593 Allows Arbitrary File Write with Root Permissions

2024/09/15 SecurityOnline — Linux／Unix ベース・システムで人気のパッケージ・マネージャ Nix に、深刻度の高い脆弱性が発見された。脆弱性 CVE-2024-45593 (CVSS：9.1) の悪用に成功した攻撃者は、NAR のアンパック・プロセスを介して、任意のファイル・システムへの書き込みを可能にするという。その結果として、重大な脅威が発生する恐れがある。

GitHub パブリック・リポジトリのプッシュ保護機能：デフォルトでオンになった

GitHub push protection now on by default for public repositories

2024/03/04 HelpNetSecurity — GitHub のプッシュ保護機能が、すべての公開リポジトリでデフォルトで有効になった。このセキュリティ機能は、API キーやトークンなどの機密情報が、誤ってオンラインに流出することの防止を目的としている。Microsoft の子会社である GitHub は、「この機能により、公開リポジトリへのプッシュでサポートされている機密情報が検出された場合に、その情報はコミットから削除される。あるいはオプション機能として、その機密情報が安全だと判断された場合には、ブロックを回避する」と述べている。

Ubuntu の “Command-Not-Found” ユーティリティの悪用：悪意のパッケージをインストールする可能性

Abusing The Ubuntu ‘Command-Not-Found’ Utility To Install Malicious Packages

2024/02/14 SecurityAffairs — クラウドセキュリティ企業 Aqua のサイバー・セキュリティ研究者が発見したのは、一般的なユーティリティ “command-not-found”‘” の悪用により、悪意のパッケージの欺瞞的な推奨につながる可能性である。Aqua Nautilus の研究者たちは、「Ubuntu の “command-not-found” パッケージと “snap” パッケージの、リポジトリ間における相互作用に起因する、セキュリティ問題を特定した。”command-not-found” は、アンインストールされたコマンドのインストールを提案する便利なツールとして機能するが、”snap” リポジトリを介した操作により、悪意のパッケージの欺瞞的な推奨につながる」と述べている。

Microsoft WinGet Package Manager がダウン：CDN の SSL 期限切れが原因

Microsoft WinGet package manager failing from expired SSL certificate

2023/02/11 BleepingComputer — Microsoft WinGet Package Manager で発生した問題は、WinGet CDN の SSL／TLS 証明書の有効期限が切れた後の、パッケージのインストール／アップグレードに関するものだ。2020年5月にオープンソースとしてリリースされた Windows Package Manager (WinGet) は、コマンドラインからユーザーが、ダイレクトにアプリケーションをインストールするためのものだ。

OSS サプライチェーンの深刻な問題：３年間で 742% 急増した悪意のパッケージ

Software Supply Chain Attacks Soar 742% in Three Years

2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件／オープンソース・プロジェクト数千件を含む、公開データ／独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。

PHP Packagist の深刻な脆弱性 CVE-2022-24828：サプライチェーン攻撃にいたる恐れ

Critical Packagist Vulnerability Opened Door for PHP Supply Chain Attack

2022/10/04 SecurityWeek — 10月4日に、コード・セキュリティ企業の SonarSource は、Packagist に影響を及ぼす深刻な脆弱性の詳細を発表した。この脆弱性の悪用に成功した脅威アクターにより、PHP コミュニティを標的としたサプライチェーン攻撃が行われる可能性があるという。Packagist とは、PHP 管理ツールである Composer のデフォルト・リポジトリであり、インストール可能な PHP パッケージが集約されている場所だ。Composer は、毎月のように 20億以上のパッケージをダウンロードするために使用されている。

GitHub が npm セキュリティ強化を実施：パッケージ署名の検証システムなどを追加

GitHub introduces 2FA and quality of life improvements for npm

2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、３つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter／GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された２要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。

Composer などのパッケージ・マネージャに脆弱性：開発者を狙う攻撃ベクター

Multiple Security Flaws Discovered in Popular Software Package Managers

2022/03/11 TheHackerNews — 一般的なパッケージ・マネージャには、複数のセキュリティ脆弱性が存在している。それらが悪用されると、侵入されたマシンでの任意のコード実行や、ソースコードやアクセストークンなどの機密情報へのアクセスを許してしまう可能性がある。つまり、この種のパッケージ・マネージャを取り扱う開発者は、いずれを使うにしても、悪意の影響を受けることに留意する必要がある。