谷歌 Project Zero 披露了 GitHub Actions 中具有的比较严重安全漏洞。
Actions 关键负责与“姿势电动执行器”(Action Runner)中间的通讯工作中。 此次问题取决于,GitHub Actions 中的工作流引擎指令非常容易遭受引入进攻。
依据 Project Zero 精英团队的披露,当过程分析至 STDOUT 的每一行,以求职工作流指令时,每一个 GitHub Actions 实际操作都是在实施环节中打印出出不会受到信赖的內容。在大部分情形下,设定随意系统变量的作用,会在实行另一个工作内容后立即执行远程控制编码。换言之,这一问题使之非常容易遭受引入进攻。
Project Zero 精英团队研究者 Felix Wilhelm 对于此事点评称:“完成工作流引擎指令的方法从源头上而言不是可靠的。”
7 月 21 日,Project Zero 精英团队发觉这一BUG以后通告给 GitHub。一般而言, 系统漏洞被看到以后,受影响的单位将有 90 天的筹划修补時间。Project Zero 精英团队也给 GitHub 给予了 90 天缓冲期,截止到 10 月 18 日。
GitHub 最后决策弃用易受攻击的指令,并传出“中等水平比较严重的安全漏洞”的修复提议,通告开发人员升级其工作内容。 但这仅仅暂时性应对措施,因为问题如 Felix Wilhelm 常说,是“全局性的”不安全隐患,长期性处理仍需将工作流引擎指令从业内安全通道移往它处,而那么做又会毁坏其他有关编码。Felix Wilhelm 也没法明确该如何解决这个问题 ,GitHub 并沒有进行修补。
90 天限期期满前,10 月 16 日,GitHub 获得了 Project Zero 精英团队带来的附加 14 天缓冲期,新截至日期是 11 月 2 日,GitHub 方案彻底禁止使用有关指令。以后,GitHub 尝试再申请办理 48 钟头的缓冲期。但 Project Zero 精英团队觉得推迟并无法解决困难,且有悖系统漏洞披露全过程,因此披露了系统漏洞详细信息和定义认证编码。
文中转自OSCHINA。
本文文章标题:谷歌披露 GitHub 高风险系统漏洞
文中详细地址:https://www.oschina.net/news/119685/the-github-actions-vulnerability-was-disclosed