GoogleのProject Zeroが再び攻撃、GitHubの「重大度の高い」欠陥の詳細を公開

GoogleのProjectZeroが再び攻撃を仕掛け、Microsoftソフトウェアのパッチが適用されていない脆弱性の詳細を公開しました。

同社は本日、GitHubでの「重大度の高い」エクスプロイトに関する情報を公開しました。これにより、リモートでコードが実行される可能性があります。

実行されたアクションとアクションランナーの間の通信チャネルとして機能するワークフローコマンドの欠陥は、問題を発見したFelixWilhelmによってそのように説明されています。

この機能の大きな問題は、インジェクション攻撃に対して非常に脆弱であるということです。 ランナープロセスがSTDOUTに出力されたすべての行を解析してワークフローコマンドを探すため、実行の一部として信頼できないコンテンツを出力するすべてのGithubアクションは脆弱です。 ほとんどの場合、任意の環境変数を設定する機能により、別のワークフローが実行されるとすぐにリモートでコードが実行されます。

私は人気のあるGithubリポジトリを調べてきましたが、Githubアクションがやや複雑なほとんどすべてのプロジェクトは、このバグクラスに対して脆弱です。

この問題はワークフローコマンドがどのように機能するかという根本的な問題のようであり、修正が非常に困難です。 GitHubのアドバイザリノート:

`add-path`および` set-env`ランナーコマンドはstdoutを介して処理されます
@ actions / core npmモジュールのaddPathおよびexportVariable関数は、特定の形式の文字列を生成することにより、stdoutを介してActionsRunnerと通信します。 信頼できないデータをstdoutに記録するワークフローは、これらのコマンドを呼び出す可能性があり、その結果、ワークフローまたはアクションの作成者の意図なしにパスまたは環境変数が変更されます。

パッチ
ランナーは、近い将来、set-envおよびadd-pathワークフローコマンドを無効にするアップデートをリリースする予定です。 今のところ、ユーザーは@ actions / core v1.2.6以降にアップグレードし、ワークフロー内のset-envまたはadd-pathコマンドのインスタンスを新しい環境ファイル構文に置き換える必要があります。 古いコマンドまたは古いバージョンのツールキットを使用するワークフローとアクションは警告を開始し、ワークフローの実行中にエラーになります。

回避策
いいえ、できるだけ早くアップグレードすることを強くお勧めします。

グーグルは21月90日に欠陥を発見し、マイクロソフトにパッチを当てるのに14日を与えた。 GitHubは脆弱なコマンドを廃止し、「中程度のセキュリティの脆弱性」に関するアドバイザリを送信して、ユーザーにワークフローの更新を依頼しました。 彼らはまた、Googleが受け入れた2日間の開示遅延をGoogleに求め、開示日を2020年48月XNUMX日に変更しました。MicrosoftはさらにXNUMX時間の遅延を要求しましたが、Googleはこれを拒否し、昨日開示に至りました。

エクスプロイトの完全な詳細は見つけることができます こちらのChromium.orgで。

、 Neowin