Project Zero Google menyerang lagi, merilis rincian kelemahan GitHub yang "sangat parah".
3 menit Baca
Ditampilkan di
Bagikan artikel ini
Sempurnakan panduan ini
Baca halaman pengungkapan kami untuk mengetahui bagaimana Anda dapat membantu MSPoweruser mempertahankan tim editorial Baca lebih lanjut
Project Zero Google telah menyerang lagi, merilis rincian kerentanan yang belum ditambal dalam perangkat lunak Microsoft.
Perusahaan hari ini merilis informasi eksploitasi "keparahan tinggi" di GitHub yang memungkinkan eksekusi kode jarak jauh.
Cacat, dalam perintah alur kerja, yang bertindak sebagai saluran komunikasi antara tindakan yang dieksekusi dan Pelari Tindakan, dijelaskan seperti itu oleh Felix Wilhelm, yang menemukan masalah:
Masalah besar dengan fitur ini adalah sangat rentan terhadap serangan injeksi. Saat proses runner mem-parsing setiap baris yang dicetak ke STDOUT untuk mencari perintah alur kerja, setiap tindakan Github yang mencetak konten tidak tepercaya sebagai bagian dari pelaksanaannya menjadi rentan. Dalam kebanyakan kasus, kemampuan untuk menyetel variabel lingkungan arbitrer menghasilkan eksekusi kode jarak jauh segera setelah alur kerja lain dijalankan.
Saya telah menghabiskan beberapa waktu melihat repositori Github yang populer dan hampir semua proyek dengan tindakan Github yang agak rumit rentan terhadap kelas bug ini.
Masalahnya tampaknya mendasar pada cara kerja perintah alur kerja, sehingga sangat sulit untuk diperbaiki. Catatan nasihat GitHub:
Perintah `add-path` dan `set-env` Runner diproses melalui stdout
Modul @actions/core npm addPath dan fungsi exportVariable berkomunikasi dengan Actions Runner melalui stdout dengan menghasilkan string dalam format tertentu. Alur kerja yang mencatat data yang tidak tepercaya ke stdout dapat menjalankan perintah ini, sehingga jalur atau variabel lingkungan diubah tanpa maksud dari alur kerja atau pembuat tindakan.Patch
Runner akan merilis pembaruan yang menonaktifkan perintah alur kerja set-env dan add-path dalam waktu dekat. Untuk saat ini, pengguna harus meningkatkan ke @actions/core v1.2.6 atau yang lebih baru, dan mengganti setiap instance dari perintah set-env atau add-path dalam alur kerja mereka dengan Sintaks File Lingkungan yang baru. Alur kerja dan tindakan yang menggunakan perintah lama atau versi toolkit yang lebih lama akan mulai memperingatkan, lalu keluar kesalahan selama eksekusi alur kerja.Workarounds
Tidak ada, sangat disarankan agar Anda meningkatkan versi sesegera mungkin.
Google menemukan kekurangannya pada 21 Juli, memberi Microsoft 90 hari untuk menambalnya. GitHub tidak lagi menggunakan perintah yang rentan dan mengirimkan nasihat tentang "kerentanan keamanan sedang", meminta pengguna untuk memperbarui alur kerja mereka. Mereka juga meminta Google untuk penundaan pengungkapan 14 hari yang diterima Google, memindahkan tanggal pengungkapan ke 2 November 2020. Microsoft meminta penundaan lebih lanjut 48 jam, yang ditolak Google, yang mengarah ke pengungkapan kemarin.
Detail lengkap dari exploit dapat ditemukan di Chromium.org di sini.
melalui Neowin
