谷歌泄露严重Github安全漏洞
谷歌的Zero Project团队公开披露了GitHub中的一个严重漏洞,该漏洞可用于对流行的开发者平台发起注入攻击。这家搜索巨头的安全分析师团队因发现流行软件中的主要漏洞而受到称赞,本周早些时候,该团队披露了Windows 10零日漏洞,该漏洞可能使黑客能够夺取用户对计算机的控制。
早在今年1月,Project Zero就改变了披露政策,给予供应商整整90天的时间来披露其系统或软件中的问题。这就是为什么在谷歌研究人员7月发现GitHub后,GitHub在10月18日修复了这个严重的缺陷。随着最后期限的临近,GitHub在10月份放弃了易受攻击的命令,并发布了安全公告,警告用户更新工作流程。
然后,10月中旬,开发商平台因为漏洞将于11月2日公开披露,接受了0号项目14天的宽限期。
漏洞痕迹为CVE-2020-15228,解决了GitHub Actions中工作流命令容易受到注入攻击的问题。这些命令用作在平台上执行的动作和动作运行器之间的通信通道。
谷歌高级信息安全工程师Felix Wilhem在"零项目"报告中解释说,几乎所有具有复杂Github Actions的项目都容易受到注入攻击,他说:
"该功能最大的问题是容易受到注射攻击。当正在运行的程序进程解析打印到STDOUT的每一行来查找工作流命令时,每一个Github操作都会在执行过程中打印不可信的内容,因此很容易受到攻击。在大多数情况下,设置任何环境变量的功能将在执行另一个工作流后立即执行远程代码。我花了一些时间查看流行的Github存储库,几乎所有具有一些复杂Github操作的项目都容易受到这种bug的影响。"
Wilhem认为,Github要完全解决这个问题将非常困难,因为实现工作流命令的方式"从根本上说是不安全的"。尽管不建议将命令语法作为解决此问题的短期解决方案,但长期解决方案将需要将工作流命令移动到越界通道,尽管这也会破坏其他相关代码。
就在宽限期结束前,GitHub要求0号项目再延长48小时解决问题,并没有修复,而是通知了其他客户,并设定了修复漏洞的最终日期。