谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞

2020年11月03日 15:29 次阅读 稿源:cnBeta.COM 条评论

过去几年,谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下,受影响的机构将有 90 天的时间来筹备修复,然后相关漏洞详情才会被公开披露。最新消息是,谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。

访问:

阿里云“爆款特惠”主题活动- 云服务器低至0.55折 96元/年

天猫2021年货节超级红包开抢:每天3次 最高2021元

image.png

据悉,问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions,主要负责与“动作执行器”(Action Runner)之间的通信工作。

Felix Wilhelm 在审查源代码时发现了这个严重的安全隐患:“当进程解析至 STDOUT 的每一行,以寻找工作流命令时,每个 GitHub 操作都会在执行过程中打印出不受信任的内容”。

在大多数情况下,设置任意环境变量的功能,会在执行另一个工作流程后立即执行远程代码。换言之,这一缺陷使之极易受到注入攻击。

Felix Wilhelm 花了一些时间来查看流行的 GitHub 存储库,结果发现几乎所有具有某些复杂 GitHub Actions 的项目都极易受到此类 Bug 的影响。

自 7 月 21 日发现该安全漏洞之后,Project Zero 团队已经及时向 GitHub 方面通报了此事,并为其提供了标准的 90 天宽限期(截止 10 月 18 日)。

最终 GitHub 决定弃用易受攻击的命令,并发出“中等严重的安全漏洞”的修补建议,通知开发者更新其工作流程。

尴尬的是,由于工作流命令的实现方法存在根本性的不安全问题,Felix Wilhelm 也无法确定该如何解决这个问题。

作为临时的应对措施,相关项目只得先弃用命令语法。长期的解决方案,仍需将工作流命令从界内通道移往它处,但这么做又会破坏其它相关代码,让所有人都感到头痛不已。

10 月 16 日,GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期,以完全禁用相关命令(新截止日期为 11 月 2 日)。

不过当 GitHub 试图再申请 48 小时的宽限期后,Project Zero 觉得一再拖延并不能解决问题,并且有违标准的漏洞披露流程,于是最终还是披露了漏洞详情和概念验证代码。

对文章打分

谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞

4 (44%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      阿里云免费试用频道

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan