1. 极安网首页
  2. 网络安全新闻

谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞

过去几年,谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下,受影响的机构将有 90 天的时间来筹备修复,然后相关漏洞详情才会被公开披露。最新消息是,谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。

谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞-极安网

据悉,问题源于GitHubActions中的工作流命令极易受到注入攻击。而所谓的Actions,主要负责与“动作执行器”(ActionRunner)之间的通信工作。

FelixWilhelm在审查源代码时发现了这个严重的安全隐患:“当进程解析至STDOUT的每一行,以寻找工作流命令时,每个GitHub操作都会在执行过程中打印出不受信任的内容”。

在大多数情况下,设置任意环境变量的功能,会在执行另一个工作流程后立即执行远程代码。换言之,这一缺陷使之极易受到注入攻击。

FelixWilhelm花了一些时间来查看流行的GitHub存储库,结果发现几乎所有具有某些复杂GitHubActions的项目都极易受到此类Bug的影响。

自7月21日发现该安全漏洞之后,ProjectZero团队已经及时向GitHub方面通报了此事,并为其提供了标准的90天宽限期(截止10月18日)。

最终GitHub决定弃用易受攻击的命令,并发出“中等严重的安全漏洞”的修补建议,通知开发者更新其工作流程。

尴尬的是,由于工作流命令的实现方法存在根本性的不安全问题,FelixWilhelm也无法确定该如何解决这个问题。

作为临时的应对措施,相关项目只得先弃用命令语法。长期的解决方案,仍需将工作流命令从界内通道移往它处,但这么做又会破坏其它相关代码,让所有人都感到头痛不已。

10月16日,GitHub得到了ProjectZero团队提供的额外14天宽限期,以完全禁用相关命令(新截止日期为11月2日)。

不过当GitHub试图再申请48小时的宽限期后,ProjectZero觉得一再拖延并不能解决问题,并且有违标准的漏洞披露流程,于是最终还是披露了漏洞详情和概念验证代码。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3545.html