Gerrit 中的 "GerriScary "漏洞暴露了谷歌关键项目的代码完整性风险

谷歌等公司使用的开源代码审查系统 Gerrit 最近披露了一个漏洞，该漏洞可能为未经授权的代码在没有标准审批流程的情况下引入关键软件项目提供了途径。Tenable 的安全研究人员的安全研究人员发现，该漏洞源于错误配置的权限和审查标签逻辑。在某些配置中，攻击者可以利用一个名为 "addPatchSet "的功能来修改已经批准的更改，从而有可能在不触发重新审查的情况下引入恶意代码。

CybersecurityAsia.net 的另一份报告的另一份报告证实，攻击者可以绕过人工审核阶段，使用自动化工具插入未经授权的代码，而无需用户交互。

至少有 18 个备受瞩目的软件源被发现存在漏洞，其中包括与 Chromium、Dart、Bazel 和其他基础架构组件相关的项目。该问题还涉及自动提交过程中的竞赛条件，允许攻击者在代码合并前的短暂窗口内采取行动。

在披露该漏洞时，尚未发现有人利用该漏洞。Tenable 使用良性代码进行了负责任的测试，并未尝试对该漏洞进行完整的端到端利用。

此后，谷歌已对配置进行了更改，以缓解这一问题。同时，Tenable 还警告说，其他使用 Gerrit 的开源项目应检查其配置，因为其他地方也可能存在类似的设置，并建议所有 Gerrit 用户审核权限规则和标签持久性策略，以确保代码的完整性。潜在的错误配置也可能影响到使用 Gerrit 的其他组织，尤其是使用默认权限设置和自动代码提交流程的组织。此次事件凸显了开源生态系统中安全开发环境的持续重要性。