Proiectul Google Zero lovește din nou, lansând detalii despre defectul GitHub de „severitate ridicată”.
3 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Proiectul Zero de la Google a lovit din nou, lansând detalii despre o vulnerabilitate nepatchată în software-ul Microsoft.
Compania a lansat astăzi informații despre un exploit de „severitate ridicată” în GitHub, care ar permite executarea codului de la distanță.
Defectul, în comenzile fluxului de lucru, care acționează ca un canal de comunicare între acțiunile executate și Action Runner, este descris ca atare de Felix Wilhelm, care a descoperit problema:
Marea problemă cu această caracteristică este că este extrem de vulnerabilă la atacurile de injecție. Pe măsură ce procesul runner analizează fiecare linie tipărită în STDOUT în căutarea comenzilor fluxului de lucru, fiecare acțiune Github care tipărește conținut care nu este de încredere ca parte a executării sale este vulnerabilă. În majoritatea cazurilor, capacitatea de a seta variabile de mediu arbitrare are ca rezultat executarea codului la distanță imediat ce se execută un alt flux de lucru.
Am petrecut ceva timp uitându-mă la depozitele Github populare și aproape orice proiect cu acțiuni Github oarecum complexe este vulnerabil la această clasă de erori.
Problema pare să fie fundamentală pentru modul în care funcționează comenzile fluxului de lucru, ceea ce face foarte dificil de rezolvat. Notele consultative ale GitHub:
Comenzile `add-path` și `set-env` Runner sunt procesate prin stdout
Modulul @actions/core npm addPath și funcțiile exportVariable comunică cu Actions Runner peste stdout prin generarea unui șir într-un format specific. Fluxurile de lucru care înregistrează date nesigure în stdout pot invoca aceste comenzi, ceea ce duce la modificarea variabilelor de cale sau de mediu fără intenția autorului fluxului de lucru sau al acțiunii.Patch-uri
Runnerul va lansa o actualizare care dezactivează comenzile de flux de lucru set-env și add-path în viitorul apropiat. Pentru moment, utilizatorii ar trebui să facă upgrade la @actions/core v1.2.6 sau o versiune ulterioară și să înlocuiască orice instanță a comenzilor set-env sau add-path din fluxurile lor de lucru cu noua Sintaxă a fișierului de mediu. Fluxurile de lucru și acțiunile care utilizează comenzile vechi sau versiunile mai vechi ale setului de instrumente vor începe să avertizeze, apoi vor apărea erori în timpul execuției fluxului de lucru.rezolvări
Niciuna, se recomandă insistent să faceți upgrade cât mai curând posibil.
Google a descoperit defectul pe 21 iulie, oferind Microsoft 90 de zile pentru a-l corecta. GitHub a depreciat comenzile vulnerabile și a trimis un avertisment despre o „vulnerabilitate de securitate moderată”, solicitând utilizatorilor să-și actualizeze fluxurile de lucru. De asemenea, au cerut Google o întârziere de divulgare de 14 zile, pe care Google a acceptat-o, mutând data dezvăluirii la 2 noiembrie 2020. Microsoft a cerut o întârziere suplimentară de 48 de ore, pe care Google a refuzat-o, ducând la dezvăluirea ieri.
Detaliile complete ale exploit-ului pot fi găsite la Chromium.org aici.
de Neowin
