O Projeto Zero do Google ataca novamente, divulga detalhes da falha de “alta gravidade” do GitHub
3 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
O Project Zero do Google atacou novamente, liberando detalhes de uma vulnerabilidade não corrigida no software da Microsoft.
A empresa divulgou hoje informações de uma exploração de “alta gravidade” no GitHub, que permitiria a execução remota de código.
A falha, nos comandos de workflow, que funcionam como um canal de comunicação entre as ações executadas e o Action Runner, é descrita como tal por Felix Wilhelm, que descobriu o problema:
O grande problema com esse recurso é que ele é altamente vulnerável a ataques de injeção. Como o processo de execução analisa cada linha impressa em STDOUT procurando por comandos de fluxo de trabalho, cada ação do Github que imprime conteúdo não confiável como parte de sua execução é vulnerável. Na maioria dos casos, a capacidade de definir variáveis de ambiente arbitrárias resulta na execução remota de código assim que outro fluxo de trabalho é executado.
Passei algum tempo olhando repositórios populares do Github e quase qualquer projeto com ações um tanto complexas do Github é vulnerável a essa classe de bug.
O problema parece ser fundamental para o funcionamento dos comandos de fluxo de trabalho, tornando-o muito difícil de corrigir. Notas consultivas do GitHub:
Comandos `add-path` e `set-env` Runner são processados via stdout
As funções addPath e exportVariable do módulo @actions/core npm se comunicam com o Actions Runner sobre stdout gerando uma string em um formato específico. Os fluxos de trabalho que registram dados não confiáveis no stdout podem invocar esses comandos, resultando na modificação do caminho ou das variáveis de ambiente sem a intenção do fluxo de trabalho ou do autor da ação.Patches
O executor lançará uma atualização que desabilita os comandos de fluxo de trabalho set-env e add-path em um futuro próximo. Por enquanto, os usuários devem atualizar para @actions/core v1.2.6 ou posterior e substituir qualquer instância dos comandos set-env ou add-path em seus fluxos de trabalho pela nova sintaxe de arquivo de ambiente. Fluxos de trabalho e ações que usam os comandos antigos ou versões mais antigas do kit de ferramentas começarão a avisar e, em seguida, apresentarão erros durante a execução do fluxo de trabalho.soluções alternativas
Nenhum, é altamente recomendável que você atualize o mais rápido possível.
O Google descobriu a falha em 21 de julho, dando à Microsoft 90 dias para corrigi-la. O GitHub preteriu comandos vulneráveis e enviou um aviso sobre uma “vulnerabilidade de segurança moderada”, pedindo aos usuários que atualizassem seus fluxos de trabalho. Eles também pediram ao Google um atraso de divulgação de 14 dias que o Google aceitou, movendo a data de divulgação para 2 de novembro de 2020. A Microsoft pediu um atraso adicional de 48 horas, que o Google recusou, levando à divulgação ontem.
Os detalhes completos da exploração podem ser encontrados em Chromium.org aqui.
via Neowin
