Project Zero של גוגל מכה שוב, שחרר פרטים על פגם GitHub "בחומרה גבוהה".

עמוד הבית » GitHub

סמל זמן קריאה 3 דקות לקרוא

סמל לוח השנה פורסם ב

by סורור דיווידס 

פורסם ב

שתף את המאמר הזה

קוראים עוזרים לתמוך ב-MSpoweruser. אנו עשויים לקבל עמלה אם תקנה דרך הקישורים שלנו. סמל טיפים

קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קרא עוד

Microsoft GitHub

פרויקט אפס של גוגל תקף שוב, ופרסם פרטים על פגיעות שטרם תוקנה בתוכנת מיקרוסופט.

החברה פרסמה היום מידע על ניצול "חומרה גבוהה" ב-GitHub שיאפשר ביצוע קוד מרחוק.

הפגם, בפקודות זרימת עבודה, הפועלות כערוץ תקשורת בין הפעולות המבוצעות ל-Action Runner, מתואר ככזה על ידי פליקס וילהלם, שגילה את הבעיה:

הבעיה הגדולה בתכונה זו היא שהיא חשופה מאוד להתקפות הזרקה. כאשר תהליך הרץ מנתח כל שורה המודפסת ל- STDOUT ומחפשת פקודות של זרימת עבודה, כל פעולת Github שמדפיסה תוכן לא מהימן כחלק מהביצוע שלו היא פגיעה. ברוב המקרים, היכולת להגדיר משתני סביבה שרירותיים גורמת לביצוע קוד מרחוק ברגע שמבוצעת זרימת עבודה נוספת.

ביליתי זמן מה בבדיקת מאגרי Github פופולריים וכמעט כל פרויקט עם פעולות Github מורכבות משהו פגיע למחלקת הבאגים הזו.

נראה שהבעיה היא בסיסית לאופן שבו פועלות פקודות זרימת עבודה, מה שמקשה מאוד על תיקון. הערות הייעוץ של GitHub:

הפקודות 'add-path' ו-'set-env' Runner מעובדות באמצעות stdout
פונקציות ה-@actions/core npm addPath ו-exportVariable מתקשרות עם Actions Runner מעל stdout על ידי יצירת מחרוזת בפורמט מסוים. זרימות עבודה הרושמת נתונים לא מהימנים ל-stdout עשויות להפעיל פקודות אלה, וכתוצאה מכך משתני הנתיב או הסביבה ישתנו ללא כוונת זרימת העבודה או מחבר הפעולה.

טלאים
הרץ ישחרר עדכון שישבית את פקודות זרימת העבודה set-env ו-add-path בעתיד הקרוב. לעת עתה, על המשתמשים לשדרג ל-@actions/core v1.2.6 ואילך, ולהחליף כל מופע של פקודות set-env או add-path בזרימות העבודה שלהם בתחביר ה- Environment File החדש. זרימות עבודה ופעולות המשתמשות בפקודות הישנות או בגירסאות ישנות יותר של ערכת הכלים יתחילו להזהיר, ולאחר מכן ייצאו שגיאות במהלך ביצוע זרימת העבודה.

דרכים לעקיפת הבעיה
אין, מומלץ מאוד לשדרג בהקדם האפשרי.

גוגל גילתה את הפגם ב-21 ביולי, ונתנה למיקרוסופט 90 יום לתקן אותו. GitHub ביטל פקודות פגיעות ושלח הודעה לגבי "פגיעות אבטחה מתונה", וביקש מהמשתמשים לעדכן את זרימות העבודה שלהם. הם גם ביקשו מגוגל עיכוב חשיפה של 14 יום שגוגל קיבלה, והזיז את תאריך החשיפה ל-2 בנובמבר 2020. מיקרוסופט ביקשה עיכוב נוסף של 48 שעות, שגוגל סירבה, מה שהוביל לחשיפה אתמול.

ניתן למצוא את הפרטים המלאים של הניצול ב-Chromium.org כאן.

באמצעות ללא שם: Neowin

עוד על הנושאים: לנצל, GitHub, פרוייקט אפס

סורור דיווידס

סורור דיווידס מגן

מומחה לסמארטפונים

Surur Davids הוא המייסד של WMPoweruser שלימים הפך ל-MSPoweruser.com. הוא מומחה לסמארטפונים עם ניסיון של למעלה מעשור.

השאירו תגובה

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *