Github被发觉存有一个高风险漏洞,大部分全部有着繁杂Github Actions的新项目都非常容易黑客攻击。这一CVE编号为CVE-2020-15228的漏洞是由Google集团旗下知名的Project Zero网络信息安全精英团队在7月份时看到的。因为Project Zero以前更改了其针对发布漏洞的现行政策,因而她们给了Github整整的90天的时间段去修补这一漏洞。Github之后在10月份时弃用了易受攻击的指令,而且也使客户传出了安全警示标识提示她们要尽早升级工作流。而在10月中的情况下,Project Zero又给与了Github附加14天的宽限期。就在这一限期期满前,Github向Project Zero申请办理增加限期48钟头来通告越来越多的客户及其决策什么情况下可以修完这一漏洞。
CV-2020-15228是一个编码引入进攻,而Github Actions中的各种各样工作流指令是极其非常容易得到这类进攻。这种指令是在实行姿势及其Action Runner中的沟通渠道存有的。Google高級网络信息安全技术工程师Felix Wilhem在一份Project Zero的报告书中表明:
“这一作用(工作流指令)的最大的问题取决于它非常容易遭受编码引入进攻。当运作程序流程在分析STDOUT上的每一行文本试着找寻工作流指令时,全部列举未受信任內容所为实行的一部分的Github姿势都非常容易黑客攻击。在大部分情形下,可设定随意系统变量这一特点,只需当另一个工作流在实行后,最后都极有可能会被作为远程控制实行编码。我花了些時间在Github的储存库文件查验,发觉只需是有点儿繁杂的Github姿势都非常容易黑客攻击。”
Felix Wilhem还表明,Github要修补这一漏洞会是非常艰难的,由于工作流指令的建立方法从源头上而言不是可靠的,弃用这些一部分指令仅仅一个临时性的解决方案,要完全修补就必须把工作流指令挪动到别的地区,尽管那样做会毁坏掉一些依靠其的编码。