Googles Project Zero slår til igen, frigiver detaljer om GitHub "high severity"-fejl

Ikon for læsetid 3 min. Læs

Kalenderikon Udgivet den November 3, 2020

offentliggjort den November 3, 2020

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links.

Googles Project Zero har slået til igen og frigiver detaljer om en uoprettet sårbarhed i Microsoft-software.

Virksomheden har i dag frigivet information om en "high severity" udnyttelse i GitHub, som ville tillade fjernudførelse af kode.

Fejlen i arbejdsgangskommandoer, der fungerer som en kommunikationskanal mellem udførte handlinger og Action Runner, er beskrevet som sådan af Felix Wilhelm, som opdagede problemet:

Det store problem med denne funktion er, at den er meget sårbar over for injektionsangreb. Da løberprocessen analyserer hver linje, der udskrives til STDOUT på udkig efter arbejdsflowkommandoer, er hver Github-handling, der udskriver ikke-betroet indhold som en del af udførelsen, sårbar. I de fleste tilfælde resulterer evnen til at indstille vilkårlige miljøvariabler i fjernkørsel af kode, så snart en anden arbejdsgang udføres.

Jeg har brugt noget tid på at kigge på populære Github-depoter, og næsten ethvert projekt med noget komplekse Github-handlinger er sårbare over for denne fejlklasse.

Problemet ser ud til at være grundlæggende for, hvordan arbejdsgangskommandoer fungerer, hvilket gør det meget vanskeligt at rette. GitHubs rådgivende bemærkninger:

`add-path` og `set-env` Runner kommandoer behandles via stdout
@actions/core npm-modulet addPath og exportVariable-funktionerne kommunikerer med Actions Runner over stdout ved at generere en streng i et specifikt format. Arbejdsgange, der logger ikke-pålidelige data til stdout, kan påkalde disse kommandoer, hvilket resulterer i, at stien eller miljøvariablerne ændres uden intentionen fra workflow- eller handlingsforfatteren.

Patches
Løberen vil frigive en opdatering, der deaktiverer kommandoerne set-env og add-path workflow i den nærmeste fremtid. Indtil videre bør brugere opgradere til @actions/core v1.2.6 eller nyere og erstatte enhver forekomst af set-env- eller add-path-kommandoerne i deres arbejdsgange med den nye Environment File Syntax. Arbejdsgange og handlinger, der bruger de gamle kommandoer eller ældre versioner af værktøjssættet, vil begynde at advare og derefter fejle under udførelse af arbejdsgangen.

løsninger
Ingen, det anbefales kraftigt, at du opgraderer så hurtigt som muligt.

Google opdagede fejlen den 21. juli, hvilket gav Microsoft 90 dage til at reparere den. GitHub forældede sårbare kommandoer og sendte en meddelelse ud om en "moderat sikkerhedssårbarhed", der bad brugerne om at opdatere deres arbejdsgange. De bad også Google om en 14-dages offentliggørelsesforsinkelse, som Google accepterede, og flyttede offentliggørelsesdatoen til den 2. november 2020. Microsoft bad om en yderligere forsinkelse på 48 timer, hvilket Google afviste, hvilket førte til offentliggørelsen i går.

De fulde detaljer om udnyttelsen kan findes på Chromium.org her.

via Neowin

Mere om emnerne: udnytte, Github, projekt nul