Bemutatjuk a Patch the Planetet
Megosztás
Összefoglalót olvas. A teljes tartalom itt érhető el: blog.trailofbits.com.
Mi történik, amikor tisztázod a Trail of Bits mérnökök tucatjainak időbeosztását, párosítod őket minden elérhető nyílt forráskódú fenntartóval, akit elérnek, és elengeded a legújabb határmodelljeiket, mint a GPT-5.5-Cyber, kritikus nyílt forráskódú célpontok ellen? Az OpenAI-jal és a Daybreak kezdeményezésével való partnerségünknek köszönhetően arról számolhatunk be, hogy ennek hatása több száz felfedezett hibát, 64 pull kérést és 51 bejelentett problémát jelentett 19 projekten (és sok más még koordinált nyilvánosságra hozatal alatt áll). Ez volt a Patch the Planet első hete. Az olyan határmodellek, mint a GPT-5.5-Cyber, hatalmas mennyiségű biztonsági eredményt termelnek, és az már amúgy is megfeszített fenntartóknak át kell nézniük ezeket, hogy elválasszák a valódi sebezhetőségeket a plauzibilisnek tűnő álhigiénés eredményektől. A Patch the Planet más: szakértőink irányítják és rangsorolják a felfedezéseket, mi pedig a kód javításának és megerősítésének munkáját végezzük a fenntartókkal együtt. A Patch the Planet első hete 19 projektet ölelt fel a kriptográfia, hálózatépítés, nyelvi infrastruktúra és szoftverellátási lánc területén. Ezek között szerepelt a cURL, NATS, pyca, Sigstore, aiohttp, a Go projekt, freenginx, a Python és python.org, urllib3, PyPI, SimpleX, Valkey és RustCrypto. Eddig több mint 30 projekt csatlakozott a kezdeményezéshez, és gyorsan bővítjük, hogy több is beleférjen; ha fenntartasz egy nyílt forráskódú projektet, jelentkezz! Élő betekintés a Trail of Bits mérnöki csapataiba Bárki bejelentheti a problémákat, rugalmas lehet, és elvonulhat. Mi érkeztünk a javításokkal: 37 már össze lett vonva, és sok más is folyamatban van. Ezek az összevonások túlmutatnak a bugok javításán: új teszteket és fuzzing kereteket, CI biztonsági szkennelést, ellátási lánc eszközöket, helyességi javításokat és olyan funkciókat adjuk hozzá, amelyeket a fenntartók régóta terveztek. A Patch the Planet célja, hogy az alapvető nyílt forráskódú projekteket mérhetően jobb állapotba hozza. Javításokat hoztunk, nem csak hibajelentéseket Nyilvános felfedezéseket jelentünk a GitHubon, beleértve 64 összes pull kérést. 51 problémát is bejelentettünk, ebből 19 már javítva is van. Ez a nyilvános számbavétel alulértékeli a munkát, mivel több projekt privát csatornákon keresztül, például a HackerOne-on, GitHub biztonsági értesítéseken, levelezőlistákon és privát forkokon keresztül gyűjti a jelentéseket, és ezek többségéről még nem tettek közzé nyilvános bejelentést. Ami a pull kérésekben van, az fontosabb, mint a szám. A python.org-on CI munkafolyamatot adtunk hozzá, amely a zizmor-ra épül, a nyílt forráskódú GitHub Action auditorunkra, kijavítottuk az összes észlelt problémát, és integráltuk a CI-jükbe. A RustCrypto-ban helyességi javításokat adtunk hozzá a nagy egész számok könyvtárához, amelyre a magasabb szintű kriptográfia épül, valódi funkciókkal a felülvizsgálat alatt: serde kódolás támogatás és HPKE DHKEM suite ID-k. Más javítások csupán mérnöki segítség volt: tárolás-számítási és szolgáltatásújraindítási javítások a SimpleX-ben, tisztább adminisztratív karantén megerősítés a PyPI Warehouse-ban, és ellátási lánc fejlesztések, mint például SBOM oldalsó kiegészítők a Python Windows artefaktumaihoz. Számos tesztelési fejlesztést és új tesztelési kampányokat is felfelé irányítunk. Vitathatatlanul, a legjobb hozzájárulásaink nem is bug vagy biztonsági javítások. Mindezt egy Patchy nevű bot irányítja. Patchy minden projektet figyelemmel kísér, minden új felfedezést és összevont javítást posztol a Slackre, és tudományos szempontból indokolható okokból a goblinok, gremlinek és egyéb lények általános használatát újra bevezeti. Íme Patchy leírása egy hibáról, amelyet kijavítottak: Patchy leírása egy hibáról, amelyet kijavítottak Amikor egy javítás megérkezik, Patchy ünnepli a PATCHY HAPPY-vel. Patchy boldoggá tétele az, ami igazán motivál minket. Hiba javítva, Patchy boldog Néhány kiemelkedő pillanat a héten A hét több mindent hozott, mint amit be tudtunk volna illeszteni ebbe a posztba, de itt van néhány gyors kiemelés. Egy fuzzing laboratóriumot építettek egy nap alatt. Egy szűk cél (távolról kihasználható hibák keresése) és utasítások nélkül arra, hogy hogyan, a GPT-5.5-Cyber úgy döntött, hogy az egyik legáttekintettebb C könyvtár forráskódjának olvasása rossz felhasználás a tokenek számára. Ehelyett egy teljes fuzzing laboratóriumot állított fel kevesebb mint egy nap alatt: szanitizáló és változati összeállítások, meglévő tesztből származó seed corpus és keretek tucatnyi belépési ponthoz. Ahelyett, hogy egyszerűen fuzztatta volna a nyilvános API-kat, sikeresen épített egy keretet, amely a működési rendszer visszanyomását injektálta, hogy az új problémákat az eddig nem feltárt hibás állapotok elérésével azonosíthassa. Becsülésünk szerint mindez a munka valószínűleg 2-3 hétbe telt volna egy fuzzing szakértőnknek kézzel. Ugyanolyan fontos az is, hogy megmutatta, hogy milyen dolgokat érdemes tesztelni, mit érdemes bejelenteni (és mit nem), és hol lehet nagyobb hatású eredményeket találni. Teljes részleteit különálló terepi jelentésben publikáljuk. Egy történelmi CVE-k variáns tesztelésére vonatkozó pipelinet is építettek egy nap alatt. A Codex a hasonló, de hatékony pipelinek, mint az alább látható CVE variáns-elemző pipeline építésében is ügyes volt. A Codex /goal funkciója, kombinálva a GPT-5.5-Cyber-rel, ebben a típusú variáns-elemzésben új problémákat generált, szinte kizárólag magas jelzéssel. A python.org-on a kiadás-pipeline javítása. Több biztonsági problémát jelentettünk a python.org számára, beleértve néhány, a hagyományos API engedélyezési rés bezárásával kapcsolatos problémát. De a legjobban a python.org kiadási infrastruktúrájára vonatkozó hosszú távú fejlesztések révén végzett munkánkat tartjuk. A új zizmor CI szkennelés, a szigorított kiadási fájl- és metaadat-ellenőrzés, a törlési hatókör javítása, hogy a tömeges műveletek ne érhessék el a céljukon túl, és a felülvizsgálat alatt lévő kiadási eszköz javításai, amelyek idézik a távoli parancsargumentumokat, biztonságosan elbuknak, ha a részleges feltöltések nem sikerülnek, és SBOM oldalsó kiegészítőket adnak hozzá. Az aiohttp fenntartói szinte azonnal kijavították a problémáikat. Privátban bejelentettünk egy csoportnyi problémát az aiohttp kliens- és szerverútvonalain, beleértve a sütiket, amelyek szélesebb hatókört nyerhetnek vissza mentés után, a digests hitelesítő adatokat, amelyek válaszolhatnak a kihívásra a hibás eredetből, és az erőforráskorlátokat, amelyek az támadó által irányított puffert követően futnak. A fenntartók órákon belül nyolc javítást szerkesztettek és egyesítettek, hét ezek közül egyetlen ötórás időablakban. Meg voltunk elégedve, és értékeljük a fenntartók gyors és együttműködő munkáját ezeken a problémákon! Főbb kriptográfiai könyvtárak különböző tesztelése egymás ellen. Sok projektünk ugyanazt a logikát, protokollokat és algoritmusokat valósítja meg. Különösen, több projekt azonos kriptográfiai algoritmusokat és szabványokat, mint például X.509 tanúsítványokat implementál. Ezért a Codexet használtuk, hogy ezeket a projekteket egymásra irányítsuk, és azonosítsuk a releváns viselkedési különbségeket. Ez egy magas jelzéssel bíró megközelítést bizonyított, amely felfedezte a hibákat, beleértve ezt az AES-GCM hibát a PyCA-n és több X.509 problémát, amelyeket felfelé tervezünk irányítani az x509-limbóba. A hibák megtalálása most már a könnyű rész Ha az elmúlt hónapok biztonsági híreiből nem volt egyértelmű, ez a hét egy dolgot biztosan kiderített: a biztonsági munka drága része elmozdult. A Codex felruházása fuzzing kampányokkal, variáns-elemzéssel, differenciális teszteléssel, ügynöki kereséssel és hasonló technikákkal valós sebezhetőségeket eredményez, és heteket vagy hónapokat tartó manuális munkát órákra sűrít. Az előny már nem a hibák megtalálásában rejlik, hanem mindaz, ami utána jön: a felfedezés megerősítése, a súlyosság megfelelő meghatározása, a fenntartó által elfogadható javítás írása, a környező kód megszorítása, a jövőbeni hasonló problémák elkerülése érdekében hosszú távú fejlesztések létrehozása és a nyilvánosságra hozatal koordinálása. Ez az a munka, amelyet az AI által generált jelentések áradása fenyeget, hogy elborítson. Útmutatás a fenntartók számára Ha olyan fenntartó vagy, aki fenntarthatatlan számú AI által generált hibajelentést kezel, akkor a legfontosabb kihívások, amelyeket meg kell oldanod, a duplikáció, a hamis pozitívok kiszűrése és a súlyosság korrektúrálása. A duplikáció az a legegyszerűbb probléma technikai szempontból. Még a legegyszerűbb AI-alapú eszközök, amelyek új jelentéseket hasonlítanak össze a nyitott problémákkal, jól működnek, különösen, ha a kapcsolódó kódvonalakra támaszkodnak. Ennek a lépésnek a automatizálása eltünteti a legtöbb zajt. A hamis pozitívok kiszűrése és a súlyosság korrektúrája nehezebb, de kezelhető. Kifejezett útmutatás nélkül a modellek alapértelmezés szerint mindent kritikusra értékelnek. Patchy fenyegetésmodell és súlyossági útmutatás nélkül Általános megközelítések, mint a fp-check eszközünk, segítenek, de csak egy bizonyos pontig. A legjobb fejlesztések projekt-specifikus dokumentációt, fenyegetési modelleket és súlyossági kritériumokat igényelnek. A PyCA biztonsági dokumentációja például drámai hatékonyságú volt a hibajelentéseink hamis pozitívjainak csökkentésében. Az olyan fájlok, mint az AGENTS.md, amelyek kifejezetten megmondják a modelleknek, hogy mely dokumentációt kell konzultálni, a legkonzisztens és leghatékonyabb eredményeket hozzák. Ha a biztonsági kutatók fel vannak készülve ezzel a dokumentációval, különösen az AI-alapú kutatáshoz szükséges AGENTS.md fájllal, több zajt lehet kiszűrni, mielőtt az elérné a fenntartókat. Mi következik és hogyan lehet részt venni Ez csak az első hetünk volt. Több mint 30 projekt elkötelezte magát, hogy csatlakozik a Patch the Planethez, egy növekvő várólistával. Ahogy több felfedezés tisztázódik a koordinált nyilvánosságra hozatal során, többet publikálunk az eredményekből és mélyebb terepi jelentéseket, beleértve a teljes fuzzing labor részleteit, a variáns-elemzési és differenciális tesztelési pipelinet, valamint azokat az eszközöket, amelyeket arra építünk, hogy segítsük a fenntartókat, hogy saját maguk rangsorolják az AI által generált jelentéseket. A Patch the Planet összefoglalónk tartalmazza az első hét nyilvános outputjának teljes listáját. Csatlakozz a Patch the Planethez és terjeszd a hírt Ha kritikus nyílt forráskódú projektet tartasz fenn és szeretnél ilyen típusú segítséget, jelentkezz a Patch the Planethez.
Külső link: blog.trailofbits.com
Kapcsolódó cikkek
cybersecurity
A JadePuffer zsarolóvírus mesterséges intelligencia ügynököt használt az egész támadás automatizálására.
cybersecurity
Az Egyesült Államok kormánya 1 millió dollárt fizetett a Kairosnak adatlopási zsarolási ügyben.
cybersecurity
