Projekt Zero společnosti Google znovu útočí a zveřejňuje podrobnosti o "vysoké závažnosti" chyby GitHubu
3 min. číst
Publikované dne
Sdílejte tento článek
Vylepšete tuto příručku
Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více
Projekt Zero společnosti Google znovu zaútočil a zveřejnil podrobnosti o neopravené zranitelnosti v softwaru společnosti Microsoft.
Společnost dnes zveřejnila informace o „vysoké závažnosti“ exploitu v GitHubu, který by umožnil vzdálené spuštění kódu.
Chybu v příkazech pracovního postupu, které fungují jako komunikační kanál mezi prováděnými akcemi a Action Runnerem, jako takovou popsal Felix Wilhelm, který problém objevil:
Velkým problémem této funkce je, že je vysoce zranitelná vůči injekčním útokům. Protože běžecký proces analyzuje každý řádek vytištěný na STDOUT hledající příkazy pracovního postupu, je každá akce Github, která jako součást svého spuštění tiskne nedůvěryhodný obsah, zranitelná. Ve většině případů má schopnost nastavit libovolné proměnné prostředí za následek vzdálené spuštění kódu, jakmile je spuštěn jiný pracovní postup.
Strávil jsem nějaký čas prohlížením populárních repozitářů Github a téměř každý projekt s poněkud složitými akcemi Github je zranitelný vůči této třídě chyb.
Zdá se, že problém je zásadní pro to, jak fungují příkazy pracovního postupu, takže je velmi obtížné jej opravit. Poradní poznámky GitHubu:
Příkazy `add-path` a `set-env` Runner se zpracovávají přes stdout
Funkce addPath a exportVariable modulu @actions/core npm komunikují s Actions Runner přes stdout generováním řetězce ve specifickém formátu. Pracovní postupy, které protokolují nedůvěryhodná data do stdout, mohou vyvolat tyto příkazy, což má za následek změnu cesty nebo proměnných prostředí bez záměru autora pracovního postupu nebo akce.Patche
Runner v blízké budoucnosti vydá aktualizaci, která zakáže příkazy set-env a add-path workflow. Prozatím by uživatelé měli upgradovat na @actions/core v1.2.6 nebo novější a nahradit jakoukoli instanci příkazů set-env nebo add-path ve svých pracovních postupech novou syntaxí souborů prostředí. Pracovní postupy a akce používající staré příkazy nebo starší verze sady nástrojů začnou upozorňovat a poté během provádění pracovního postupu dojde k chybě.Řešení
Žádný, důrazně se doporučuje provést upgrade co nejdříve.
Google chybu objevil 21. července a dal Microsoftu 90 dní na opravu. GitHub ukončil podporu zranitelných příkazů a rozeslal upozornění o „střední bezpečnostní zranitelnosti“ a požádal uživatele, aby aktualizovali své pracovní postupy. Požádali také Google o 14denní odklad zveřejnění, který Google akceptoval a posunul datum zveřejnění na 2. listopad 2020. Microsoft požádal o další zpoždění 48 hodin, což Google odmítl, což vedlo ke včerejšímu zveřejnění.
Úplné podrobnosti o exploitu lze nalézt na Chromium.org zde.
přes Neowin
