Google Project Zero знову завдає удару, оприлюднюємо подробиці «високої серйозності» вади GitHub
3 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Проект Google Project Zero знову вдарив, оприлюднивши подробиці невиправленої вразливості в програмному забезпеченні Microsoft.
Сьогодні компанія оприлюднила інформацію про експлойт «високої серйозності» в GitHub, який дозволить віддалено виконувати код.
Недолік у командах робочого процесу, які діють як канал зв’язку між виконуваними діями та Action Runner, описує Фелікс Вільгельм, який виявив проблему:
Основна проблема цієї функції полягає в тому, що вона дуже вразлива до ін'єкційних атак. Оскільки процес запуску аналізує кожен рядок, надрукований на STDOUT, шукаючи команди робочого циклу, кожна дія Github, яка друкує ненадійний вміст як частину його виконання, є вразливою. У більшості випадків можливість встановлення довільних змінних середовища призводить до віддаленого виконання коду, як тільки виконується інший робочий процес.
Я провів деякий час, розглядаючи популярні репозиторії Github, і майже будь-який проект із дещо складними діями Github вразливий до цього класу помилок.
Проблема, здається, є фундаментальною для роботи команд робочого процесу, тому її дуже важко виправити. Консультативні примітки GitHub:
Команди `add-path` і `set-env` Runner обробляються за допомогою стандартного виведення
Функції addPath і exportVariable модуля @actions/core npm взаємодіють з Actions Runner через стандартний вихід, генеруючи рядок у певному форматі. Робочі процеси, які реєструють недовірені дані до стандартного виведення, можуть викликати ці команди, в результаті чого шлях або змінні середовища змінюються без наміру автора робочого процесу або дії.Патчі
Бігун випустить оновлення, яке вимикає команди робочого процесу set-env і add-path найближчим часом. Наразі користувачам слід оновитися до @actions/core версії 1.2.6 або новішої та замінити будь-який екземпляр команд set-env або add-path у своїх робочих процесах новим синтаксисом файлу середовища. Робочі процеси та дії, що використовують старі команди або старіші версії інструментарію, почнуть подавати попередження, а потім виникатимуть помилки під час виконання робочого процесу.Обхідні шляхи
Ні, настійно радимо оновити якомога швидше.
Google виявив недолік 21 липня, давши Microsoft 90 днів на його виправлення. GitHub відмовився від вразливих команд і розіслав повідомлення про «помірну вразливість безпеки», просячи користувачів оновити свої робочі процеси. Вони також попросили Google відтермінувати розкриття інформації на 14 днів, що Google погодився, перенісши дату розкриття на 2 листопада 2020 року. Microsoft попросила додаткової затримки на 48 годин, але Google відмовилася, що призвело до розкриття інформації вчора.
Повну інформацію про експлойт можна знайти на Chromium.org тут.
через Neowin
