Googlov Project Zero znova udari, objavite podrobnosti o "visoki" napaki GitHub

Domov » github

Ikona časa branja 3 min. prebrati

Ikona koledarja Objavljeno dne

by Surur Davids 

Objavljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Microsoft GitHub

Googlov Project Zero je znova udaril in objavil podrobnosti o nepopravljeni ranljivosti v Microsoftovi programski opremi.

Podjetje je danes objavilo informacije o izkoriščanju "visoke resnosti" v GitHubu, ki bi omogočilo oddaljeno izvajanje kode.

Napako v ukazih delovnega toka, ki delujejo kot komunikacijski kanal med izvedenimi dejanji in Action Runnerjem, je tako opisal Felix Wilhelm, ki je odkril težavo:

Velika težava te funkcije je, da je zelo občutljiva na napade vbrizgavanja. Ko postopek tekača razčleni vsako vrstico, natisnjeno v STDOUT, in išče ukaze delovnega toka, je vsako dejanje Github, ki kot del njegovega izvajanja natisne nezaupljivo vsebino, ranljivo. V večini primerov možnost nastavitve poljubnih spremenljivk okolja povzroči oddaljeno izvajanje kode takoj, ko se izvede drug potek dela.

Nekaj ​​časa sem si ogledal priljubljena skladišča Github in skoraj vsak projekt z nekoliko zapletenimi dejanji Github je ranljiv za ta razred hrošč.

Zdi se, da je težava temeljna za delovanje ukazov za potek dela, zaradi česar jo je zelo težko popraviti. GitHubove svetovalne opombe:

Ukazi `add-path` in `set-env` Runner se obdelujejo prek stdout
Funkcije addPath in exportVariable modula @actions/core npm komunicirajo z Actions Runner prek standardnega izhoda tako, da ustvarijo niz v določeni obliki. Delovni tokovi, ki beležijo nezaupljive podatke v stdout, lahko pokličejo te ukaze, zaradi česar se spremenljivke poti ali okolja spremenijo brez namena avtorja toka dela ali dejanja.

Obliži
Tekač bo izdal posodobitev, ki bo v bližnji prihodnosti onemogočila ukaza set-env in add-path. Za zdaj bi morali uporabniki nadgraditi na @actions/core v1.2.6 ali novejšo in zamenjati kateri koli primerek ukazov set-env ali add-path v svojih delovnih potekih z novo sintakso datoteke okolja. Potek dela in dejanja, ki uporabljajo stare ukaze ali starejše različice kompleta orodij, bodo začeli opozarjati, nato pa med izvajanjem delovnega toka izginejo napake.

Rešitve
Nič, močno priporočamo, da čim prej nadgradite.

Google je napako odkril 21. julija in dal Microsoftu 90 dni, da jo popravi. GitHub je opustil ranljive ukaze in poslal obvestilo o "zmerni varnostni ranljivosti", v katerem je uporabnike pozval, naj posodobijo svoje delovne poteke. Prosili so tudi Google za 14-dnevno zamudo pri razkritju, kar je Google sprejel in prestavil datum razkritja na 2. november 2020. Microsoft je zahteval nadaljnjo 48-urno zamudo, kar je Google zavrnil, kar je privedlo do razkritja včeraj.

Vse podrobnosti o izkoriščanju lahko najdete na Chromium.org tukaj.

preko Neowin

Več o temah: izkoriščanje, GitHub, projekt nič

Surur Davids

Surur Davids Shield

Strokovnjak za pametne telefone

Surur Davids je ustanovitelj WMPoweruser, ki je kasneje postal MSPoweruser.com. Je strokovnjak za pametne telefone z več kot desetletnimi izkušnjami.