El Proyecto Cero de Google ataca de nuevo, publica detalles de la falla de "alta gravedad" de GitHub

Home » gitHub

Icono de tiempo de lectura 3 minuto. leer

Icono de calendario Publicado el

by Surur Davids 

Publicado en

Compartir este artículo

Los lectores ayudan a respaldar a MSpoweruser. Es posible que obtengamos una comisión si compra a través de nuestros enlaces. Icono de información sobre herramientas

Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Más información

MicrosoftGitHub

El Proyecto Cero de Google ha atacado nuevamente, publicando detalles de una vulnerabilidad sin parchear en el software de Microsoft.

La compañía ha publicado hoy información de un exploit de "gravedad alta" en GitHub que permitiría la ejecución remota de código.

La falla, en los comandos de flujo de trabajo, que actúan como un canal de comunicación entre las acciones ejecutadas y Action Runner, es descrita como tal por Felix Wilhelm, quien descubrió el problema:

El gran problema de esta función es que es muy vulnerable a los ataques de inyección. A medida que el proceso de ejecución analiza cada línea impresa en STDOUT en busca de comandos de flujo de trabajo, cada acción de Github que imprime contenido que no es de confianza como parte de su ejecución es vulnerable. En la mayoría de los casos, la capacidad de establecer variables de entorno arbitrarias da como resultado la ejecución remota de código tan pronto como se ejecuta otro flujo de trabajo.

Pasé algún tiempo mirando repositorios populares de Github y casi cualquier proyecto con acciones algo complejas de Github es vulnerable a esta clase de error.

El problema parece ser fundamental para el funcionamiento de los comandos del flujo de trabajo, lo que lo hace muy difícil de solucionar. Notas de asesoramiento de GitHub:

Los comandos `add-path` y `set-env` Runner se procesan a través de stdout
Las funciones addPath y exportVariable del módulo @actions/core npm se comunican con Actions Runner a través de stdout generando una cadena en un formato específico. Los flujos de trabajo que registran datos que no son de confianza en stdout pueden invocar estos comandos, lo que da como resultado que la ruta o las variables de entorno se modifiquen sin la intención del autor del flujo de trabajo o la acción.

Parches
El corredor lanzará una actualización que deshabilita los comandos de flujo de trabajo set-env y add-path en un futuro próximo. Por ahora, los usuarios deben actualizar a @actions/core v1.2.6 o posterior, y reemplazar cualquier instancia de los comandos set-env o add-path en sus flujos de trabajo con la nueva sintaxis de archivo de entorno. Los flujos de trabajo y las acciones que utilizan los comandos antiguos o las versiones anteriores del kit de herramientas comenzarán a advertir y luego se producirá un error durante la ejecución del flujo de trabajo.

Soluciones provisionales
Ninguno, se recomienda encarecidamente que actualice lo antes posible.

Google descubrió la falla el 21 de julio y le dio a Microsoft 90 días para repararla. GitHub desaprobó los comandos vulnerables y envió un aviso sobre una "vulnerabilidad de seguridad moderada", pidiendo a los usuarios que actualicen sus flujos de trabajo. También le pidieron a Google un retraso de divulgación de 14 días que Google aceptó, moviendo la fecha de divulgación al 2 de noviembre de 2020. Microsoft solicitó un retraso adicional de 48 horas, que Google rechazó, lo que llevó a la divulgación ayer.

Los detalles completos del exploit se pueden encontrar en Chromium.org aquí.

vía Neowin

Surur Davids

Surur Davids Proteccion

Experto en teléfonos inteligentes

Surur Davids es el fundador de WMPoweruser, que luego se convirtió en MSPoweruser.com. Es un experto en teléfonos inteligentes con más de una década de experiencia.

Foro de usuarios

mensajes de 0