Google의 Project Zero가 다시 공격을 받고 GitHub의 '심각도 높음' 결함에 대한 세부 정보가 공개되었습니다.

Google의 Project Zero가 Microsoft 소프트웨어의 패치되지 않은 취약점에 대한 세부 정보를 다시 공개했습니다.

회사는 오늘 GitHub에서 원격 코드 실행을 허용하는 "높은 심각도" 익스플로잇에 대한 정보를 발표했습니다.

실행된 작업과 Action Runner 간의 통신 채널 역할을 하는 워크플로 명령의 결함은 문제를 발견한 Felix Wilhelm에 의해 다음과 같이 설명됩니다.

이 기능의 큰 문제는 인젝션 공격에 매우 취약하다는 것입니다. 실행기 프로세스가 워크 플로 명령을 찾기 위해 STDOUT에 인쇄 된 모든 줄을 구문 분석 할 때 실행의 일부로 신뢰할 수없는 콘텐츠를 인쇄하는 모든 Github 작업이 취약합니다. 대부분의 경우 임의의 환경 변수를 설정하는 기능으로 인해 다른 워크 플로가 실행되는 즉시 원격 코드가 실행됩니다.

나는 인기 있는 Github 리포지토리를 살펴보는 데 시간을 보냈고 다소 복잡한 Github 작업이 있는 거의 모든 프로젝트가 이 버그 클래스에 취약합니다.

이 문제는 워크플로 명령이 작동하는 방식의 근본적인 문제인 것으로 보이며 수정하기가 매우 어렵습니다. GitHub의 권고 사항:

`add-path` 및 `set-env` Runner 명령은 stdout을 통해 처리됩니다.
@actions/core npm 모듈 addPath 및 exportVariable 함수는 특정 형식의 문자열을 생성하여 stdout을 통해 Actions Runner와 통신합니다. 신뢰할 수 없는 데이터를 stdout에 기록하는 워크플로는 이러한 명령을 호출하여 워크플로 또는 작업 작성자의 의도 없이 경로 또는 환경 변수가 수정될 수 있습니다.

패치
러너는 가까운 시일 내에 set-env 및 add-path 워크플로 명령을 비활성화하는 업데이트를 출시할 예정입니다. 지금은 사용자가 @actions/core v1.2.6 이상으로 업그레이드하고 워크플로의 set-env 또는 add-path 명령 인스턴스를 새로운 환경 파일 구문으로 교체해야 합니다. 이전 명령 또는 이전 버전의 툴킷을 사용하는 워크플로 및 작업은 경고를 시작한 다음 워크플로 실행 중에 오류가 발생합니다.

해결 방법
없음, 가능한 한 빨리 업그레이드하는 것이 좋습니다.

구글은 21월 90일 이 결함을 발견했고, 마이크로소프트는 이를 패치할 수 있는 14일의 시간을 주었다. GitHub는 취약한 명령을 더 이상 사용하지 않으며 사용자에게 워크플로를 업데이트하도록 요청하는 "보통 보안 취약점"에 대한 권고를 보냈습니다. 그들은 또한 Google에 2일 공개 연기를 요청했으며 Google은 공개 날짜를 2020년 48월 XNUMX일로 옮겼습니다. Microsoft는 XNUMX시간 추가 연기를 요청했지만 Google은 이를 거부하여 어제 공개되었습니다.

익스플로잇에 대한 전체 세부정보를 확인할 수 있습니다. 여기 Chromium.org에서

를 통해 네오 윈