Notebookcheck Logo

La vulnerabilità "GerriScary" in Gerrit ha esposto il rischio di integrità del codice nei progetti chiave di Google

Uno sviluppatore naviga in complessi flussi di lavoro del codice sorgente, dove le configurazioni errate dei permessi e l'automazione possono introdurre rischi silenziosi, come la vulnerabilità GerriScary divulgata nei progetti di Google basati su Gerrit (Fonte: Freepik)
Uno sviluppatore naviga in complessi flussi di lavoro del codice sorgente, dove le configurazioni errate dei permessi e l'automazione possono introdurre rischi silenziosi, come la vulnerabilità GerriScary divulgata nei progetti di Google basati su Gerrit
L'errata configurazione del sistema di revisione del codice open-source di Google ha permesso revisioni non autorizzate del codice in almeno 18 progetti, provocando aggiornamenti di sicurezza e avvisi più ampi per gli utenti di Gerrit.
Open Source Security Software

Una vulnerabilità recentemente rivelata in Gerrit, il sistema di revisione del codice open-source utilizzato da Google e altri, potrebbe aver esposto un percorso per l'introduzione di codice non autorizzato in progetti software critici senza processi di approvazione standard. I ricercatori di sicurezza di Tenable hanno rivelato che la falla deriva da una configurazione errata delle autorizzazioni e della logica delle etichette di revisione. In alcune configurazioni, gli aggressori potrebbero sfruttare una funzione nota come "addPatchSet" per modificare le modifiche già approvate, introducendo potenzialmente codice dannoso senza innescare una nuova revisione.

Un rapporto separato di CybersecurityAsia.net ha confermato che gli aggressori potrebbero bypassare le fasi di revisione manuale e utilizzare strumenti automatizzati per inserire codice non autorizzato senza alcuna interazione da parte dell'utente.

Almeno 18 repository di alto profilo sono stati identificati come vulnerabili, compresi i progetti legati a Chromium, Dart, Bazel e altri componenti dell'infrastruttura. Il problema riguardava anche una condizione di gara nel processo di invio automatico, che consentiva agli aggressori di agire entro una breve finestra prima che il codice venisse unito.

Al momento della divulgazione, non è stato osservato alcuno sfruttamento confermato della vulnerabilità in natura. Tenable ha condotto dei test responsabili utilizzando un codice benigno e non ha tentato un exploit completo end-to-end della vulnerabilità.

Da allora, Google ha implementato delle modifiche alla configurazione per mitigare il problema. Nel frattempo, Tenable ha avvertito che altri progetti open-source che utilizzano Gerrit dovrebbero rivedere le loro configurazioni, poiché impostazioni simili potrebbero esistere altrove, e raccomanda a tutti gli utenti di Gerrit di verificare le regole di autorizzazione e le politiche di persistenza delle etichette per garantire l'integrità del codice. Le configurazioni errate sottostanti possono interessare anche altre organizzazioni che utilizzano Gerrit, in particolare quando sono presenti impostazioni di autorizzazione predefinite e processi di invio automatico del codice. Questo incidente sottolinea la costante importanza di ambienti di sviluppo sicuri nell'ecosistema open-source.

I microrobot nasali trattano con su...
Please share our article, every link counts!
Mail Logo
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2025 06 > La vulnerabilità "GerriScary" in Gerrit ha esposto il rischio di integrità del codice nei progetti chiave di Google
Louise Burke, 2025-06-29 (Update: 2025-06-29)