প্রকল্প জিরো গিটহাবে একটি গুরুতর সুরক্ষা লঙ্ঘনের বিশদ প্রকাশ করেছে এবং তারা যে রিপোর্ট ত্রুটি কর্ম কর্মপ্রবাহ কমান্ডগুলিকে প্রভাবিত করে গিটহাব থেকে এবং উচ্চ তীব্রতা হিসাবে বর্ণনা করা হয়। (এই বাগটি জুলাই মাসে আবিষ্কৃত হয়েছিল, তবে 90 দিনের মান প্রকাশের সময়কালের ভিত্তিতে, বিশদটি কেবলমাত্র প্রকাশ করা হয়েছে।)
এই ত্রুটিটি কয়েকটি দুর্বলতার মধ্যে পরিণত হয়েছিল যা স্থির হয়নি গুগল প্রকল্প জিরো কর্তৃক প্রদত্ত মান 90-দিনের সময়সীমার আগে সঠিকভাবে শেষ হয়েছে।
ফেলিক্স উইলহেমের মতে (কে এটি আবিষ্কার করেছিল), প্রকল্প জিরো দলের সদস্য, ত্রুটিটি গিটহাবের ক্রিয়াকলাপকে প্রভাবিত করে, এটি বিকাশকারীদের কাজ স্বয়ংক্রিয় করার একটি সরঞ্জাম। এর কারণ ক্রিয়া কর্মপ্রবাহ কমান্ডগুলি "ইনজেকশন আক্রমণে ঝুঁকিপূর্ণ":
“অ্যাকশনস গিথুব অ্যাকশন রানার এবং এক্সিকিউটেড অ্যাকশনের মধ্যে একটি যোগাযোগ চ্যানেল হিসাবে ওয়ার্কফ্লো কমান্ড নামে একটি বৈশিষ্ট্য সমর্থন করে। ওয়ার্কফ্লো কমান্ডগুলি / src / রানারগুলিতে প্রয়োগ করা হয় W ওয়ার্কার / অ্যাকশনকম্যান্ডম্যানেজার.সি এবং এটি দুটি কমান্ড মার্কারগুলির মধ্যে একটি অনুসন্ধান করে সম্পাদিত সমস্ত ক্রিয়াকলাপের STDOUT পার্স করে কাজ করে।
তা উল্লেখ কর এই বৈশিষ্ট্যটির সাথে বড় সমস্যাটি হ'ল এটি ইঞ্জেকশন আক্রমণে খুব ঝুঁকিপূর্ণ। কার্যনির্বাহী প্রক্রিয়াটি ওয়ার্কফ্লো কমান্ডগুলির জন্য STDOUT এ মুদ্রিত প্রতিটি সারি স্ক্যান করে, প্রতিটি গিটহাব ক্রিয়াকলাপ যাতে এর বাস্তবায়নের অংশ হিসাবে অবিশ্বস্ত সামগ্রী থাকে সেগুলি দুর্বল।
বেশিরভাগ ক্ষেত্রে, নির্বিচার পরিবেশের ভেরিয়েবলগুলি সেট করার ক্ষমতা অন্য কোনও কর্মপ্রবাহ চলার সাথে সাথে দূরবর্তী কোড কার্যকরকরণের ফলাফল দেয়। আমি জনপ্রিয় গিটহাব সংগ্রহস্থলগুলি দেখার জন্য কিছুটা সময় ব্যয় করেছি এবং প্রায় কোনও প্রকল্প যা সামান্য জটিল গিটহাব ক্রিয়া ব্যবহার করে এই ধরণের বাগের পক্ষে ঝুঁকিপূর্ণ।
পরবর্তীকালে কীভাবে বাগটি ব্যবহার করা যেতে পারে তার কয়েকটি উদাহরণ দিয়েছিল এবং একটি সমাধান প্রস্তাব:
“আমি সত্যিই নিশ্চিত না যে এটির সমাধানের সর্বোত্তম উপায় কী। আমি মনে করি যেভাবে ওয়ার্কফ্লো কমান্ড প্রয়োগ করা হয়েছে তা মূলত নিরাপত্তাহীন। অনুমতি তালিকা সহ ভি 1 কমান্ড সিনট্যাক্স এবং শক্তিশালীকরণ-এনভিভি ছড়িয়ে দেওয়া সম্ভবত সরাসরি আরসিই ভেক্টরগুলির বিরুদ্ধে কাজ করবে।
“তবে, পরবর্তী পদক্ষেপগুলিতে ব্যবহৃত 'স্বাভাবিক' পরিবেশের ভেরিয়েবলগুলি ওভাররাইড করার ক্ষমতা সম্ভবত আরও জটিল ক্রিয়াগুলি কাজে লাগানোর জন্য যথেষ্ট। বা আমি ওয়ার্কস্পেসের অন্যান্য নিয়ন্ত্রণগুলির সুরক্ষা প্রভাব বিশ্লেষণ করেছি।
অন্য দিকে, উল্লেখ করুন যে একটি দীর্ঘ দীর্ঘমেয়াদী সমাধান এটি STDOUT দ্বারা পার্সিং এড়ানোর জন্য ওয়ার্কফ্লো কমান্ডগুলি একটি পৃথক চ্যানেলে (যেমন একটি নতুন ফাইল বর্ণনাকারী) এ স্থানান্তরিত করা হবে, তবে এটি প্রচুর অ্যাকশন কোডটি ভেঙে দেবে।
গিটহাবের কথা, এর বিকাশকারীরা অক্টোবর 1 এ একটি উপদেষ্টা পোস্ট করেছিলেন এবং দুর্বল কমান্ডগুলিকে হ্রাস করেছিলেন, কিন্তু যুক্তি দিয়েছিলেন যে উইলহেলম যা পেয়েছে তা আসলে একটি "মাঝারি সুরক্ষার দুর্বলতা" ছিল। গিটহাব ত্রুটি সনাক্তকারী সিভিই -2020-15228 নির্ধারণ করেছেন:
"গিটহাব অ্যাকশনস রানটাইমে একটি মাঝারি সুরক্ষা দুর্বলতা চিহ্নিত করা হয়েছে যা পাথ এবং পরিবেশের ভেরিয়েবলগুলিকে কর্মপ্রবাহে ইনজেকশনের অনুমতি দিতে পারে যা অবিশ্বস্ত ডেটা এসটিডিউটে লগ করে। এটি ওয়ার্কফ্লো লেখকের উদ্দেশ্য ছাড়াই পরিবেশের পরিবর্তনশীলগুলির ভূমিকা বা পরিবর্তন আনতে পারে।
“আমাদের এই সমস্যা সমাধানে সহায়তা করতে এবং আপনাকে পরিবেশের পরিবর্তনশীলগুলি গতিশীলভাবে সেট করার অনুমতি দেওয়ার জন্য, আমরা কর্মপ্রবাহে পরিবেশ এবং পথের আপডেটগুলি পরিচালনা করতে ফাইলগুলির একটি নতুন সেট চালু করেছি।
“আপনি যদি স্ব-হোস্টেড ব্রোকার ব্যবহার করছেন তবে নিশ্চিত হয়ে নিন যে সেগুলি 2.273.1 বা তার চেয়ে বেশি সংস্করণে আপডেট হয়েছে।
উইলহেমের মতে, 12 ই অক্টোবর, প্রকল্প জিরো গিটহাবের সাথে যোগাযোগ করেছিল এবং যদি গিটহাব দুর্বল কমান্ডগুলি অক্ষম করতে আরও সময় চান তবে তাদের সক্রিয়ভাবে 14 দিনের উইন্ডোর প্রস্তাব দেওয়া হয়েছিল। অবশ্যই, প্রস্তাবটি গৃহীত হয়েছিল এবং গিটহাব 19 অক্টোবরের পরে দুর্বল কমান্ডগুলি অক্ষম করার আশা করছেন। এরপরে প্রকল্প জিরো নতুন প্রকাশের তারিখ 2 নভেম্বর নির্ধারণ করে।
উৎস: https://bugs.chromium.org