"GerriScary"-sårbarheten i Gerrit exponerade kodintegritetsrisk i viktiga Google-projekt

En utvecklare navigerar i komplexa arbetsflöden för källkod, där felkonfigurationer av behörigheter och automatisering kan medföra tysta risker, såsom sårbarheten GerriScary som avslöjats i Googles Gerrit-baserade projekt (Bildkälla: Freepik)

Felkonfigurationen i Googles system för granskning av öppen källkod gjorde det möjligt för obehöriga att revidera koden i minst 18 projekt, vilket ledde till säkerhetsuppdateringar och större varningar för Gerrit-användare.

Louise Burke (översatt av Ninh Duy), Publicerad 06/29/2025 🇺🇸 🇨🇳

En nyligen avslöjad sårbarhet i Gerrit, det öppen källkodssystem för kodgranskning som används av bland annat Google, kan ha öppnat en väg för obehörig kod att införas i kritiska mjukvaruprojekt utan standardiserade godkännandeprocesser. Säkerhetsforskare på Tenable avslöjade att felet härrörde från felkonfigurerade behörigheter och logik för granskningsetiketter. I vissa konfigurationer kunde angripare utnyttja en funktion som kallas "addPatchSet" för att ändra redan godkända ändringar, vilket potentiellt kan införa skadlig kod utan att utlösa en ny granskning.

En separat rapport från CybersecurityAsia.net bekräftade att angripare kunde kringgå manuella granskningssteg och använda automatiserade verktyg för att infoga obehörig kod utan användarinteraktion.

Minst 18 högprofilerade repositories identifierades som sårbara, inklusive projekt kopplade till Chromium, Dart, Bazel och andra infrastrukturkomponenter. Problemet involverade också ett tävlingsvillkor i den automatiska inlämningsprocessen, vilket gjorde det möjligt för angripare att agera inom ett kort fönster innan koden sammanfogades.

Vid tidpunkten för offentliggörandet hade inget bekräftat utnyttjande av sårbarheten observerats i naturen. Tenable genomförde ansvarsfulla tester med godartad kod och försökte inte utnyttja sårbarheten från början till slut.

Google har sedan dess genomfört konfigurationsändringar för att mildra problemet. Under tiden har Tenable varnat för att andra open source-projekt som använder Gerrit bör granska sina konfigurationer, eftersom liknande inställningar kan finnas någon annanstans, och det rekommenderar att alla Gerrit-användare granskar behörighetsregler och policyer för etikettbeständighet för att säkerställa kodintegritet. De underliggande felkonfigurationerna kan också påverka andra organisationer som använder Gerrit, särskilt där standardinställningar för behörighet och automatiserade processer för inlämning av kod finns på plats. Denna incident understryker den fortsatta vikten av säkra utvecklingsmiljöer i ekosystemet för öppen källkod.