Notebookcheck Logo

La vulnérabilité "GerriScary" dans Gerrit expose à un risque d'intégrité du code dans des projets clés de Google

Un développeur navigue dans des flux de code source complexes, où les erreurs de configuration des autorisations et l'automatisation peuvent introduire des risques silencieux tels que la vulnérabilité GerriScary révélée dans les projets Gerrit de Google (Source d'image : Freepik)
Un développeur navigue dans des flux de code source complexes, où les erreurs de configuration des autorisations et l'automatisation peuvent introduire des risques silencieux tels que la vulnérabilité GerriScary révélée dans les projets Gerrit de G
La mauvaise configuration du système de révision de code open-source de Google a permis des révisions de code non autorisées dans au moins 18 projets, ce qui a donné lieu à des mises à jour de sécurité et à des avertissements plus larges pour les utilisateurs de Gerrit.
Open Source Security Software

Une vulnérabilité récemment révélée dans Gerrit, le système de révision de code open-source utilisé par Google et d'autres, pourrait avoir ouvert une voie pour l'introduction de code non autorisé dans des projets de logiciels critiques sans les processus d'approbation standard. Les chercheurs en sécurité de Tenable ont révélé que la faille provenait d'une mauvaise configuration des autorisations et de la logique des étiquettes d'examen. Dans certaines configurations, les attaquants pouvaient exploiter une fonction connue sous le nom de "addPatchSet" pour modifier des changements déjà approuvés, introduisant potentiellement du code malveillant sans déclencher une nouvelle révision.

Un rapport distinct publié sur CybersecurityAsia.net a confirmé que les attaquants pouvaient contourner les étapes de révision manuelle et utiliser des outils automatisés pour insérer du code non autorisé sans aucune interaction de la part de l'utilisateur.

Au moins 18 référentiels de premier plan ont été identifiés comme vulnérables, notamment des projets liés à Chromium, Dart, Bazel et d'autres composants d'infrastructure. Le problème concerne également une condition de course dans le processus de soumission automatisé, permettant aux attaquants d'agir dans une brève fenêtre avant que le code ne soit fusionné.

Au moment de la divulgation, aucune exploitation confirmée de la vulnérabilité n'avait été observée dans la nature. Tenable a effectué des tests responsables en utilisant un code bénin et n'a pas tenté d'exploiter la vulnérabilité de bout en bout.

Google a depuis lors mis en œuvre des changements de configuration pour atténuer le problème. Entre-temps, Tenable a averti que les autres projets open-source utilisant Gerrit devraient revoir leurs configurations, car des paramètres similaires peuvent exister ailleurs, et recommande que tous les utilisateurs de Gerrit vérifient les règles d'autorisation et les politiques de persistance des étiquettes afin de garantir l'intégrité du code. Les mauvaises configurations sous-jacentes peuvent également affecter d'autres organisations utilisant Gerrit, en particulier lorsque des paramètres de permission par défaut et des processus de soumission de code automatisés sont en place. Cet incident souligne l'importance des environnements de développement sécurisés dans l'écosystème open-source.

Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2025 06 > La vulnérabilité "GerriScary" dans Gerrit expose à un risque d'intégrité du code dans des projets clés de Google
Louise Burke, 2025-06-29 (Update: 2025-06-29)