谷歌揭露 GitHub 高危漏洞
发布时间:2021-11-18 04:41:58 所属栏目:安全 来源:互联网
导读:谷歌 Project Zero 披露了 GitHub Actions 中存在的严重安全漏洞。 Actions 主要负责与动作执行器(Action Runner)之间的通信工作。 这次问题在于,GitHub Actions 中的工作流命令极易受到注入攻击。 根据 Project Zero 团队的披露,当进程解析至 STDOUT 的每
|
谷歌 Project Zero 披露了 GitHub Actions 中存在的严重安全漏洞。 Actions 主要负责与“动作执行器”(Action Runner)之间的通信工作。 这次问题在于,GitHub Actions 中的工作流命令极易受到注入攻击。 根据 Project Zero 团队的披露,当进程解析至 STDOUT 的每一行,以寻找工作流命令时,每个 GitHub Actions 操作都会在执行过程中打印出不受信任的内容。在大多数情况下,设置任意环境变量的功能,会在执行另一个工作流程后立即执行远程代码。换言之,这一缺陷使之极易受到注入攻击。 Project Zero 团队研究员 Felix Wilhelm 对此评价称:“实现工作流命令的方式从根本上来说是不安全的。” 7 月 21 日,Project Zero 团队发现这个漏洞之后通报给 GitHub。通常来说, 漏洞被发现之后,受影响的机构将有 90 天的筹备修复时间。Project Zero 团队也给 GitHub 提供了 90 天宽限期,截至 10 月 18 日。 GitHub 最终决定弃用易受攻击的命令,并发出“中等严重的安全漏洞”的修补建议,通知开发者更新其工作流程。 但这只是临时性应对措施,由于问题如 Felix Wilhelm 所说,是“根本性的”不安全问题,长期解决仍需将工作流命令从界内通道移往它处,而这么做又会破坏其它相关代码。Felix Wilhelm 也无法确定该如何解决这个问题 ,GitHub 并没有完成修复。 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |