谷歌披露 GitHub 高危漏洞

安全 漏洞
谷歌 Project Zero 披露了 GitHub Actions 中存在的严重安全漏洞。Actions 主要负责与“动作执行器”(Action Runner)之间的通信工作。 这次问题在于,GitHub Actions 中的工作流命令极易受到注入攻击。

谷歌 Project Zero 披露了 GitHub Actions 中存在的严重安全漏洞。

Actions 主要负责与“动作执行器”(Action Runner)之间的通信工作。 这次问题在于,GitHub Actions 中的工作流命令极易受到注入攻击。

根据 Project Zero 团队的披露,当进程解析至 STDOUT 的每一行,以寻找工作流命令时,每个 GitHub Actions 操作都会在执行过程中打印出不受信任的内容。在大多数情况下,设置任意环境变量的功能,会在执行另一个工作流程后立即执行远程代码。换言之,这一缺陷使之极易受到注入攻击。

Project Zero 团队研究员 Felix Wilhelm 对此评价称:“实现工作流命令的方式从根本上来说是不安全的。”

7 月 21 日,Project Zero 团队发现这个漏洞之后通报给 GitHub。通常来说, 漏洞被发现之后,受影响的机构将有 90 天的筹备修复时间。Project Zero 团队也给 GitHub 提供了 90 天宽限期,截至 10 月 18 日。

GitHub 最终决定弃用易受攻击的命令,并发出“中等严重的安全漏洞”的修补建议,通知开发者更新其工作流程。 但这只是临时性应对措施,由于问题如 Felix Wilhelm 所说,是“根本性的”不安全问题,长期解决仍需将工作流命令从界内通道移往它处,而这么做又会破坏其它相关代码。Felix Wilhelm 也无法确定该如何解决这个问题 ,GitHub 并没有完成修复。

90 天期限到期前,10 月 16 日,GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期,新截止日期为 11 月 2 日,GitHub 计划完全禁用相关命令。之后,GitHub 试图再申请 48 小时的宽限期。但 Project Zero 团队认为延期并不能解决问题,且有违漏洞披露过程,于是披露了漏洞详情和概念验证代码。

本文转自OSCHINA。

本文标题:谷歌披露 GitHub 高危漏洞

本文地址:https://www.oschina.net/news/119685/the-github-actions-vulnerability-was-disclosed

责任编辑:未丽燕 来源: 开源中国
相关推荐

2014-11-14 10:24:24

2022-04-26 16:52:59

漏洞网络攻击者谷歌

2016-01-31 16:49:42

漏洞Galaxy

2023-11-08 13:34:13

2021-04-18 20:00:16

谷歌漏洞网络安全

2017-02-28 21:55:58

2021-10-11 14:14:41

漏洞网络安全网络攻击

2021-06-15 14:45:10

GitHubLinux漏洞

2010-07-15 10:57:44

2020-11-08 13:49:27

漏洞GitHub谷歌

2020-11-21 19:30:48

GitHub代码开发者

2020-11-05 10:43:50

安全漏洞Github

2022-04-26 06:37:18

漏洞网络安全网络攻击

2015-01-28 15:31:35

2021-04-14 21:40:49

谷歌Chrome浏览器

2010-04-30 15:45:09

2013-02-22 13:39:57

2022-12-29 15:56:58

2015-12-31 10:57:10

2015-04-22 16:06:23

社保信息泄漏
点赞
收藏

51CTO技术栈公众号