Projekt Zero spoločnosti Google opäť zaútočil a zverejnil podrobnosti o „vysokej závažnosti“ chyby GitHub

Domov » GitHub

Ikona času čítania 3 min. čítať

Ikona kalendára Publikované dňa

by Surur Davids 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Microsoft GitHub

Projekt Zero spoločnosti Google opäť zaútočil a zverejnil podrobnosti o neopravenej zraniteľnosti v softvéri spoločnosti Microsoft.

Spoločnosť dnes zverejnila informácie o „vysoko závažnom“ exploite v GitHub, ktorý by umožnil vzdialené spustenie kódu.

Chybu v príkazoch pracovného toku, ktoré fungujú ako komunikačný kanál medzi vykonanými akciami a Action Runnerom, ako takú opísal Felix Wilhelm, ktorý problém objavil:

Veľkým problémom tejto funkcie je, že je vysoko zraniteľná voči injekčným útokom. Pretože proces bežca analyzuje každý riadok vytlačený na STDOUT hľadajúci príkazy pracovného toku, každá akcia Github, ktorá tlačí nedôveryhodný obsah ako súčasť jeho vykonávania, je zraniteľná. Vo väčšine prípadov má schopnosť nastaviť ľubovoľné premenné prostredia za následok vzdialené spustenie kódu hneď po vykonaní iného pracovného toku.

Strávil som nejaký čas prezeraním populárnych repozitárov Github a takmer každý projekt s trochu zložitými akciami Github je zraniteľný voči tejto triede chýb.

Zdá sa, že problém je základom toho, ako fungujú príkazy pracovného toku, takže je veľmi ťažké ho opraviť. Poradné poznámky GitHubu:

Príkazy `add-path` a `set-env` Runner sa spracovávajú cez stdout
Funkcie addPath a exportVariable modulu @actions/core npm komunikujú s Actions Runner cez stdout vygenerovaním reťazca v špecifickom formáte. Pracovné postupy, ktoré zaznamenávajú nedôveryhodné údaje do stdout, môžu vyvolať tieto príkazy, čo má za následok úpravu cesty alebo premenných prostredia bez zámeru autora pracovného postupu alebo akcie.

Patche
Runner v blízkej budúcnosti vydá aktualizáciu, ktorá deaktivuje príkazy set-env a add-path workflow. Zatiaľ by používatelia mali prejsť na @actions/core v1.2.6 alebo novšiu verziu a nahradiť všetky inštancie príkazov set-env alebo add-path vo svojich pracovných postupoch novou syntaxou súboru prostredia. Pracovné toky a akcie používajúce staré príkazy alebo staršie verzie súpravy nástrojov začnú upozorňovať a potom počas vykonávania pracovného toku dôjde k chybe.

riešenie
Žiadne, dôrazne odporúčame, aby ste čo najskôr aktualizovali.

Google objavil chybu 21. júla a dal Microsoftu 90 dní na jej opravu. GitHub zastaral zraniteľné príkazy a rozoslal upozornenie o „strednej bezpečnostnej chybe“, pričom používateľov žiada, aby aktualizovali svoje pracovné postupy. Požiadali tiež Google o 14-dňový odklad zverejnenia, ktorý Google akceptoval a posunul dátum zverejnenia na 2. november 2020. Microsoft požiadal o ďalší odklad 48 hodín, čo Google odmietol, čo viedlo k zverejneniu včera.

Úplné podrobnosti o exploite nájdete na stránke Chromium.org tu.

via Neowin

Viac o témach: využiť, GitHub, projekt nula

Surur Davids

Surur Davids Shield

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.