Google'ın Project Zero'su tekrar saldırıyor ve GitHub'un "yüksek önem dereceli" kusurunun ayrıntılarını yayınlıyor

Ana Sayfa » github

Okuma zamanı simgesi 3 dk. okuman

Takvim simgesi Yayınlandı

by Surur Davutları 

yayınlandı

Bu makaleyi paylaş

Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

Microsoft GitHub'ı

Google'ın Sıfır Projesi, Microsoft yazılımındaki yamalanmamış bir güvenlik açığının ayrıntılarını yayınlayarak bir kez daha vurdu.

Şirket bugün GitHub'da uzaktan kod yürütülmesine izin verecek "yüksek önemde" bir istismar hakkında bilgi yayınladı.

Yürütülen eylemler ile Action Runner arasında bir iletişim kanalı görevi gören iş akışı komutlarındaki kusur, sorunu keşfeden Felix Wilhelm tarafından şu şekilde açıklanmaktadır:

Bu özellikle ilgili en büyük sorun, enjeksiyon saldırılarına karşı oldukça savunmasız olmasıdır. Çalıştırma süreci, iş akışı komutlarını aramak için STDOUT'a yazdırılan her satırı ayrıştırırken, yürütülmesinin bir parçası olarak güvenilmeyen içeriği yazdıran her Github eylemi savunmasızdır. Çoğu durumda, rastgele ortam değişkenlerini ayarlama yeteneği, başka bir iş akışı yürütülür çalıştırılmaz uzaktan kod yürütülmesine neden olur.

Popüler Github depolarına bakmak için biraz zaman harcadım ve biraz karmaşık Github eylemlerine sahip hemen hemen her proje bu hata sınıfına karşı savunmasızdır.

Sorun, iş akışı komutlarının nasıl çalıştığı konusunda temel gibi görünüyor ve bu da düzeltilmesini çok zorlaştırıyor. GitHub'ın tavsiye notları:

"add-path" ve "set-env" Runner komutları stdout aracılığıyla işlenir
@actions/core npm modülü addPath ve exportVariable işlevleri, belirli bir biçimde bir dize oluşturarak stdout üzerinden Actions Runner ile iletişim kurar. Güvenilmeyen verileri stdout'a kaydeden iş akışları, bu komutları çağırarak yol veya ortam değişkenlerinin iş akışının veya eylem yazarının niyeti olmadan değiştirilmesine neden olabilir.

Yamalar
Koşucu, yakın gelecekte set-env ve add-path iş akışı komutlarını devre dışı bırakan bir güncelleme yayınlayacaktır. Şimdilik, kullanıcıların @actions/core v1.2.6 veya sonraki bir sürümüne yükseltmeleri ve set-env veya add-path komutlarının iş akışlarındaki herhangi bir örneğini yeni Ortam Dosyası Sözdizimi ile değiştirmeleri gerekir. Araç setinin eski komutlarını veya eski sürümlerini kullanan iş akışları ve eylemler, uyarı vermeye başlayacak ve ardından iş akışı yürütme sırasında hata verecektir.

Geçici Çözümler
Hiçbiri, mümkün olan en kısa sürede yükseltme yapmanız şiddetle tavsiye edilir.

Google, kusuru 21 Temmuz'da keşfetti ve Microsoft'a düzeltmesi için 90 gün verdi. GitHub, güvenlik açığı bulunan komutları kullanımdan kaldırdı ve kullanıcılardan iş akışlarını güncellemelerini isteyen "orta düzeyde bir güvenlik açığı" hakkında bir danışma belgesi gönderdi. Ayrıca Google'dan, açıklama tarihini 14 Kasım 2'ye çekerek, Google'ın kabul ettiği 2020 günlük bir açıklama gecikmesi istediler. Microsoft, Google'ın reddettiği ve dün açıklamaya yol açan 48 saatlik bir gecikme daha istedi.

İstismarın tüm detayları bulunabilir Chromium.org'da burada.

üzerinden Neowin

Konular hakkında daha fazla bilgi: sömürmek, Github, proje sıfır

Surur Davutları

Surur Davutları Kalkan

Akıllı Telefon Uzmanı

Surur Davids, daha sonra MSPoweruser.com adını alan WMPoweruser'ın kurucusudur. On yıldan fazla deneyime sahip bir akıllı telefon uzmanıdır.