Notebookcheck Logo

A vulnerabilidade "GerriScary" no Gerrit expôs o risco de integridade do código nos principais projetos do Google

Um desenvolvedor navega em fluxos de trabalho complexos de código-fonte, onde configurações incorretas de permissão e automação podem introduzir riscos silenciosos, como a vulnerabilidade GerriScary divulgada nos projetos baseados em Gerrit do Google (Fonte da imagem: Freepik)
Um desenvolvedor navega em fluxos de trabalho complexos de código-fonte, onde configurações incorretas de permissão e automação podem introduzir riscos silenciosos, como a vulnerabilidade GerriScary divulgada nos projetos baseados em Gerrit do Googl
A configuração incorreta do sistema de revisão de código-fonte aberto do Google permitiu revisões de código não autorizadas em pelo menos 18 projetos, o que levou a atualizações de segurança e avisos mais amplos para os usuários do Gerrit.
Open Source Security Software

Uma vulnerabilidade recentemente divulgada no Gerrit, o sistema de revisão de código-fonte aberto usado pelo Google e outros, pode ter exposto um caminho para a introdução de código não autorizado em projetos de software críticos sem processos de aprovação padrão. Pesquisadores de segurança da Tenable revelaram que a falha era decorrente de permissões mal configuradas e da lógica do rótulo de revisão. Em determinadas configurações, os invasores poderiam explorar um recurso conhecido como "addPatchSet" para modificar alterações já aprovadas, possivelmente introduzindo códigos maliciosos sem acionar uma nova revisão.

Um relatório separado do site CybersecurityAsia.net confirmou que os invasores poderiam ignorar os estágios de revisão manual e usar ferramentas automatizadas para inserir códigos não autorizados sem a interação do usuário.

Pelo menos 18 repositórios de alto perfil foram identificados como vulneráveis, incluindo projetos ligados ao Chromium, Dart, Bazel e outros componentes de infraestrutura. O problema também envolveu uma condição de corrida no processo de envio automatizado, permitindo que os invasores agissem em uma breve janela antes que o código fosse mesclado.

No momento da divulgação, nenhuma exploração confirmada da vulnerabilidade havia sido observada na natureza. A Tenable realizou testes responsáveis usando código benigno e não tentou uma exploração completa de ponta a ponta da vulnerabilidade.

Desde então, o Google implementou mudanças na configuração para mitigar o problema. Enquanto isso, a Tenable alertou que outros projetos de código aberto que usam o Gerrit devem revisar suas configurações, pois podem existir configurações semelhantes em outros lugares, e recomenda que todos os usuários do Gerrit auditem as regras de permissão e as políticas de persistência de rótulos para garantir a integridade do código. As configurações incorretas subjacentes também podem afetar outras organizações que usam o Gerrit, especialmente onde as configurações de permissão padrão e os processos automatizados de envio de código estão em vigor. Esse incidente ressalta a importância contínua de ambientes de desenvolvimento seguros no ecossistema de código aberto.

Please share our article, every link counts!
Mail Logo
> Análises e revisões de portáteis e celulares > Arquivo de notícias 2025 06 > A vulnerabilidade "GerriScary" no Gerrit expôs o risco de integridade do código nos principais projetos do Google
Louise Burke, 2025-06-29 (Update: 2025-06-29)