东方时讯网
谷歌的零项目团队已公开披露了GitHub中的一个严重漏洞,可利用该漏洞在流行的开发人员平台上发起注入攻击。这家搜索巨头的安全分析师团队因发现流行软件中的重大漏洞而倍受赞誉,并于本周早些时候披露了Windows 10零日漏洞,该漏洞可能使黑客抓住用户对计算机的控制权。
早在1月份,零项目更改了其披露政策,为供应商提供了整整90天的时间来披露其系统或软件中的问题。这就是为什么在Google的研究人员7月份发现GitHub之后才将GitHub修复到10月18日的严重性缺陷的原因。随着截止日期的临近,GitHub于10月弃用了易受攻击的命令,并发布了安全公告,警告用户更新其工作流程。
然后,在10月中旬,开发人员平台接受了零号项目的14天宽限期,因为该漏洞将在11月2日公开披露。
漏洞跟踪为CVE-2020-15228,解决了GitHub Actions中的工作流命令非常容易受到注入攻击的事实。这些命令用作平台上执行的动作与动作运行器之间的通信通道。
Google的高级信息安全工程师Felix Wilhem在“零项目”报告中解释说,几乎所有具有复杂的Github Actions的项目都容易受到注入攻击,说:
“此功能的最大问题是,它极易受到注入攻击的攻击。当运行程序进程解析打印到STDOUT的每一行以查找工作流命令时,每个Github操作都会在执行过程中打印不受信任的内容,因此很容易受到攻击。在大多数情况下,设置任意环境变量的功能会在执行另一个工作流程后立即执行远程代码。我花了一些时间查看流行的Github存储库,几乎所有具有某些复杂的Github操作的项目都容易受到此类Bug的攻击。”
Wilhem认为,完全解决该问题对于Github而言将非常困难,因为实现工作流程命令的方式“根本上是不安全的”。虽然可以不建议将命令语法作为该问题的短期解决方案,但长期解决方案将需要将工作流命令移至某个越界通道,尽管这也会破坏其他相关代码。
就在宽限期即将结束之前,GitHub要求零号项目再延长48小时,以解决该问题,而不是修补问题,而是通知其他客户,并确定修复漏洞的最终日期。