Il Project Zero di Google colpisce ancora, rilascia i dettagli del difetto "ad alta gravità" di GitHub

Icona del tempo di lettura 3 minuto. leggere


I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Microsoft Github

Project Zero di Google ha colpito ancora, rilasciando i dettagli di una vulnerabilità senza patch nel software Microsoft.

La società ha rilasciato oggi informazioni su un exploit "ad alta gravità" in GitHub che consentirebbe l'esecuzione di codice in modalità remota.

Il difetto, nei comandi del flusso di lavoro, che fungono da canale di comunicazione tra le azioni eseguite e l'Action Runner, è descritto come tale da Felix Wilhelm, che ha scoperto il problema:

Il grosso problema di questa funzione è che è altamente vulnerabile agli attacchi di iniezione. Poiché il processo di esecuzione analizza ogni riga stampata su STDOUT alla ricerca di comandi di flusso di lavoro, ogni azione Github che stampa contenuto non attendibile come parte della sua esecuzione è vulnerabile. Nella maggior parte dei casi, la possibilità di impostare variabili di ambiente arbitrarie comporta l'esecuzione di codice in modalità remota non appena viene eseguito un altro flusso di lavoro.

Ho passato del tempo a guardare i repository Github popolari e quasi tutti i progetti con azioni Github alquanto complesse sono vulnerabili a questa classe di bug.

Il problema sembra essere fondamentale per il funzionamento dei comandi del flusso di lavoro, rendendolo molto difficile da risolvere. Note di avviso di GitHub:

I comandi del Runner `add-path` e `set-env` vengono elaborati tramite stdout
Le funzioni @actions/core npm module addPath ed exportVariable comunicano con Actions Runner su stdout generando una stringa in un formato specifico. I flussi di lavoro che registrano dati non attendibili su stdout possono richiamare questi comandi, determinando la modifica del percorso o delle variabili di ambiente senza l'intenzione del flusso di lavoro o dell'autore dell'azione.

Patch
Il corridore rilascerà un aggiornamento che disabilita i comandi del flusso di lavoro set-env e add-path nel prossimo futuro. Per ora, gli utenti dovrebbero eseguire l'aggiornamento a @actions/core v1.2.6 o versioni successive e sostituire qualsiasi istanza dei comandi set-env o add-path nei loro flussi di lavoro con la nuova sintassi del file di ambiente. I flussi di lavoro e le azioni che utilizzano i vecchi comandi o le versioni precedenti del toolkit inizieranno a ricevere un avviso, quindi verrà generato un errore durante l'esecuzione del flusso di lavoro.

soluzioni alternative
Nessuno, si consiglia vivamente di eseguire l'aggiornamento il prima possibile.

Google ha scoperto il difetto il 21 luglio, concedendo a Microsoft 90 giorni per correggerlo. GitHub ha deprecato i comandi vulnerabili e ha inviato un avviso su una "vulnerabilità di sicurezza moderata", chiedendo agli utenti di aggiornare i propri flussi di lavoro. Hanno anche chiesto a Google un ritardo di divulgazione di 14 giorni che Google ha accettato, spostando la data di divulgazione al 2 novembre 2020. Microsoft ha chiesto un ulteriore ritardo di 48 ore, che Google ha rifiutato, portando alla divulgazione di ieri.

I dettagli completi dell'exploit possono essere trovati su Chromium.org qui.

via Neowin

Forum degli utenti

0 messaggi