Le Projet Zéro de Google frappe à nouveau et publie les détails de la faille « de haute gravité » de GitHub
3 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Le Project Zero de Google a encore frappé, publiant les détails d'une vulnérabilité non corrigée dans les logiciels Microsoft.
La société a publié aujourd'hui des informations sur un exploit de « haute gravité » dans GitHub qui permettrait l'exécution de code à distance.
La faille, dans les commandes de workflow, qui agissent comme un canal de communication entre les actions exécutées et l'Action Runner, est décrite comme telle par Felix Wilhelm, qui a découvert le problème :
Le gros problème de cette fonctionnalité est qu'elle est très vulnérable aux attaques par injection. Alors que le processus d'exécution analyse chaque ligne imprimée sur STDOUT à la recherche de commandes de flux de travail, chaque action Github qui imprime un contenu non approuvé dans le cadre de son exécution est vulnérable. Dans la plupart des cas, la possibilité de définir des variables d'environnement arbitraires entraîne l'exécution de code à distance dès qu'un autre flux de travail est exécuté.
J'ai passé du temps à regarder les référentiels Github populaires et presque tous les projets avec des actions Github quelque peu complexes sont vulnérables à cette classe de bogues.
Le problème semble être fondamental pour le fonctionnement des commandes de flux de travail, ce qui le rend très difficile à résoudre. Notes consultatives de GitHub:
Les commandes `add-path` et `set-env` Runner sont traitées via stdout
Les fonctions addPath et exportVariable du module @actions/core npm communiquent avec Actions Runner sur stdout en générant une chaîne dans un format spécifique. Les flux de travail qui consignent des données non approuvées dans stdout peuvent appeler ces commandes, ce qui entraîne la modification du chemin ou des variables d'environnement sans l'intention de l'auteur du flux de travail ou de l'action.Patches
L'exécuteur publiera prochainement une mise à jour qui désactivera les commandes de flux de travail set-env et add-path. Pour l'instant, les utilisateurs doivent effectuer une mise à niveau vers @actions/core v1.2.6 ou une version ultérieure, et remplacer toute instance des commandes set-env ou add-path dans leurs workflows par la nouvelle syntaxe de fichier d'environnement. Les flux de travail et les actions utilisant les anciennes commandes ou les anciennes versions de la boîte à outils commenceront à émettre un avertissement, puis à générer une erreur lors de l'exécution du flux de travail.Solutions de contournement
Aucun, il est fortement suggéré de mettre à niveau dès que possible.
Google a découvert la faille le 21 juillet, donnant à Microsoft 90 jours pour la corriger. GitHub a déprécié les commandes vulnérables et a envoyé un avis sur une "vulnérabilité de sécurité modérée", demandant aux utilisateurs de mettre à jour leurs flux de travail. Ils ont également demandé à Google un délai de divulgation de 14 jours, ce que Google a accepté, déplaçant la date de divulgation au 2 novembre 2020. Microsoft a demandé un délai supplémentaire de 48 heures, ce que Google a refusé, ce qui a conduit à la divulgation hier.
Les détails complets de l'exploit peuvent être trouvés sur Chromium.org ici.
via Neowin
