东方时讯网
Google Project Zero小组(致力于发现安全漏洞)昨天公开了一个在GitHub上发现的“严重程度较高”的漏洞。自7月下旬以来,GitHub没有解决问题,因此要求更多时间。
“没有办法进一步延长期限,因为这已经是第104天(90天+延长期限14天),而没有解决方案;问题将在今天宣布。”
据报告该问题的GPZ工程师Felix Wilhelm所说,该缺陷存在于称为工作流命令的功能中,该功能可自动执行与工作流相关的操作:“此功能极易受命令注入的影响,并且从根本上讲是不安全的,因为它将允许黑客在易受攻击的计算机上远程执行代码。”
GitHub是Microsoft维护的流行的版本控制系统和源代码存储库,供世界各地的开发人员和公司使用,这使该错误更加严重:“我分析了GitHub存储库,其中最受欢迎的是GitHub操作有些复杂的所有项目都容易受到此类错误的影响。”
该平台已在7月21日收到该漏洞的通知,并且按照GPZ标准,已为90天(至10月18日)给予了修复;在那之后,故障被发现。Github随后停用了易受攻击的命令,并向用户发送了警报,称该漏洞的严重性为“中等”,并建议更新工作流程。
在截止日期的前两天,GPZ又给了Github 14天以禁用所有命令;上一个星期日(1),该平台又要求“通知客户有关问题并设置纠正期限”两天。GPZ拒绝并公开了该故障。