您当前的位置:首页 > 科技资讯 >

Google Project Zero团队披露了GitHub操作中的严重安全漏洞

来源:网络 2020-11-04 08:15:26

在过去几年里,谷歌的ProjectZero团队披露了影响Windows10、MacOS、iOS等平台的严重安全漏洞。通常,受影响的组织将有90天的时间为修复做准备,然后漏洞的细节才会被公开。最新消息是,谷歌项目零团队刚刚披露了一个非常严重的安全漏洞,影响了GitHub的开源托管平台。

据报道,该问题源于githubaction中的工作流命令易受注入攻击的脆弱性。所谓的操作主要负责与actionExecutor(ActionRunner)通信。

当felixwilhelm检查源代码时,它会发现这种严重的安全隐患:当流程分析到stdout的每一行以查找工作流命令时,每个GitHub操作都会在执行过程中打印出不受信任的内容。

在大多数情况下,一旦执行另一个工作流,设置任何环境变量的能力就会执行远程代码。换句话说,这个缺陷使它极易受到注入攻击。

Felixwilhelm花了一段时间研究流行的GitHub存储库,发现几乎所有具有复杂githubaction的项目都非常容易受到这种缺陷的影响。

自7月21日发现安全漏洞以来,项目零小组及时通知了GitHub,并为其提供了标准的90天宽限期(截至10月18日)。

最后,GitHub决定放弃易受攻击的命令,并发布了中度严重的安全漏洞修复建议,通知开发人员更新他们的工作流。

令人尴尬的是,由于工作流命令的实现存在根本的不安全性,felixwilhelm无法确定如何解决这个问题。

作为临时反应,有关项目必须首先放弃命令语法。从长远来看,工作流命令仍然需要从边界通道中移动,但这样做会破坏其他相关代码,使每个人都感到头疼。

10月16日,GitHub被项目零团队给予了14天的宽限期,以完全禁用命令(新的最后期限是11月2日)。

然而,当GitHub试图申请48小时宽限期时,ProjectZero认为一再拖延并不能解决问题,并且违反了标准的漏洞披露程序,因此它最终披露了漏洞的细节和概念代码的证明。