谷歌 Project Zero 科学研究员工在GitHub中看到了一个高风险安全性漏洞,并在7月21日递交了GitHub,依照谷歌Project Zero 90天的漏洞公布计划公开漏洞的时间为10月18日。
漏洞简述
漏洞坐落于GitHub的开发人员工作流引擎自动化技术专用工具Actions 特点中。依据GitHub 文本文档,在 GitHub Actions 的库房中自动化技术、自定和执行开发软件工作内容,可以发觉、建立和共享资源实际操作以执行您喜爱的一切工作(包含 CI/CD),并将实际操作合拼到彻底自己设计的工作内容中。
Github Actions 适用一个名叫workflow commands的特点,这也是Action runner和执行action的通讯频带。Workflow commands 在runner/src/Runner.Worker/ActionCommandManager.cs 中完成,根据剖析全部找寻2个指令maker的执行的action的STDOUT来工作中。
该特性的一大问题是非常容易遭受引入进攻的危害。Runner过程在剖析找寻workflow command的打印出到STDOUT的每排时,每一个打印出不能信內容的GitHub action都易遭受进攻。在大部分情形下,假如可以设定随意的系统变量,当另一个workflow执行时便会引起远程控制编码执行。
时间轴
10月1日,GitHub 发布消息认可了该漏洞,并分派了CVE序号CVE-2020-15228,但称该漏洞事实上中危漏洞。
10月12日,谷歌 Project Zero 科学研究工作人员沟通了GitHub,并积极提起将漏洞公布的时间增加14天,并了解是不是必须需要越来越多的时间来禁止使用有漏洞的指令。
GitHub 接纳了将漏洞公布的时间延迟时间14天,并预估于10月19日以后禁止使用有漏洞的指令。因而,谷歌 Project Zero将漏洞公布时间定为11月2日。
10月28日,因为GitHub沒有修补漏洞,谷歌 Project Zero 再度联络GitHub称间距漏洞公布的时间不够一周,可是未获得GitHub 回复。因为未接到GitHub 官方回应,Project Zero 联络了第三方工作人员获得回复称该漏洞将被修补,Project Zero可以依照计划的11月2日公布漏洞。
11月1日,GitHub得出官方回应,但称没法在11月2日禁止使用有漏洞的指令,并要求附加的2天时间来通告客户该漏洞的有关信息,但这2天并并不是修补漏洞的时间,都没有得出确定的漏洞修补时间。
因而,11月2日,Project Zero 依照计划公布了该漏洞。
文中翻譯自:
https://www.zdnet.com/article/google-to-github-times-up-this-unfixed-high-severity-security-bug-affects-developers/