谷歌披露 GitHub 高危漏洞

据研究人员声称,该漏洞使GitHub Action的工作流命令很容易受到注入攻击。
谷歌披露 GitHub 高危漏洞插图
谷歌Project Zero的研究人员已在GitHub中发现了一个高危漏洞;他们表示,该漏洞让攻击者可以在受影响的系统上远程执行代码。
该漏洞是Project Zero的Felix Wilhelm在7月份发现的。研究团队随后向GitHub告知了其平台中的这个漏洞,并给予GitHub 90天的期限(截至10月18日)以解决该问题。
Wilhelm在周二发布到网上的帖子中称,他通过审查源代码发现了这个漏洞,发觉漏洞影响GitHub Actions的工作流命令。
GitHub中的工作流命令用于在执行的动作与Action Runner(动作执行器)之间提供一条通信通道。
Wilhelm表示,GitHub Action的工作流命令很容易受到注入攻击。
他说:“当动作执行器进程解析打印到STDOUT的每一行以寻找工作流命令时,在执行过程中打印输出不可信内容的每个GitHub动作都很容易受到攻击。”
“在大多数情况下,能够设置任意环境变量导致了一旦执行另一个工作流,就远程执行代码。”
Wilhelm表示,GitHub Action中的工作流命令是以一种“根本就不安全“的方式实现的,因此修复该漏洞可能是个棘手的过程。
据Wilhelm声称,废弃命令语法有望提供一种短期解决办法,而永久修复该漏洞则需要将工作流命令移至某种越界(out-of-bound)通道(这也会影响其他的依赖代码)。
GitHub在上个月发布的一份安全公告中通知用户,由于平台出现了一个“危险程度中等的安全漏洞”,一些易受攻击的命令已被弃用。该公告敦促用户更新工作流。
GitHub的公告称:“GitHub Actions执行器中发现了一个危险程度中等的安全漏洞,该漏洞可以让工程流中的环境变量和路径注入将不可信数据记录到STDOUT中。”
“这可能导致环境变量在不是工作流创建者本意的情况下被引入或被修改。”
“为了解决该问题,我们引入了一组新文件来管理工作流中的环境和路径更新。如果您使用自我托管的执行器,请确保将其更新到版本2.273.1或更高版本。”
10月16日,谷歌给予GitHub 14天的宽限期,以完全禁用相关命令。
11月2日,谷歌将该漏洞的详细信息公之于众,同时公开了表明如何可以利用该漏洞的概念证明(PoC)代码。
Project Zero团队在披露GitHub漏洞几天前刚透露了一个新的Windows零日漏洞的详细信息。他们表示,黑客正在积极利用该漏洞,在Windows计算机上运行恶意程序。
众所周知,Project Zero团队历来有披露著名软件产品中关键漏洞的传统,包括Windows 10、iOS和macOS内核及其他软件产品。
今年早些时候,该团队宣布改变其披露政策,目的是让供应商有更多的时间为它们的应用软件中发现的安全漏洞开发“全面彻底”的补丁。
该团队表示,根据修改后的政策,即使漏洞已在截至日期之前予以修复,它也会等待至少90天,才会公开披露安全漏洞的详细信息。
现在,如果供应商认为自己无法在90天内修复上报的漏洞,还可以向谷歌要求再给予14天的宽限期。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
个人中心
购物车
优惠劵
搜索