Projekt Zero avaldas üksikasjad tõsise turvarikkumise kohta GitHubis ja nad teatavad sellest viga mõjutab toimingu töövoo käske GitHubist ja seda kirjeldatakse kui rasket raskust. (See viga avastati juulis, kuid tavapärase 90-päevase avalikustamisperioodi jooksul on üksikasjad avaldatud alles nüüd.)
Sellest veast sai üks väheseid haavatavusi, mida ei kõrvaldatud korralikult enne Google Project Zero poolt antud 90-päevase tavapärase ajakava lõppemist.
Felix Wilhelmi sõnul (kes selle avastas), Project Zero meeskonna liige, mõjutab viga arendajate töö automatiseerimise tööriista GitHub toimimisfunktsiooni. Selle põhjuseks on asjaolu, et toimingute töövoo käsud on süstimisrünnakute suhtes haavatavad:
„Toimingud Github toetab funktsiooni, mida nimetatakse töövoo käsudeks kui suhtluskanalit Actioni maakleri ja täidetava toimingu vahel. Töövoo käske rakendatakse kataloogis / src / Runner.Worker / ActionCommandManager.cs ja see töötab parsides kõiki toiminguid STDOUT, otsides ühte kahest käsumärgist.
Mainige seda selle funktsiooni suur probleem on see, et see on süstimisrünnakute suhtes väga haavatav. Kuna täitmisprotsess otsib kõiki STDOUT-is prinditud ridu töövoo käskude jaoks, on kõik GitHubi toimingud, mis sisaldavad selle täitmisel ebausaldusväärset sisu, haavatavad.
Enamasti põhjustab suvaliste keskkonnamuutujate määramise võimalus koodi kaugkäivituse niipea, kui teine töövoog töötab. Olen veetnud mõnda aega populaarsete GitHubi hoidlate vaatamisega ja peaaegu iga projekt, mis kasutab veidi keerukaid GitHubi toiminguid, on sellist viga haavatav.
Hiljem tõi mõned näited, kuidas viga ära kasutada ja pakkus välja ka lahenduse:
"Ma pole tõesti kindel, mis on parim viis selle parandamiseks. Ma arvan, et töövoo käskude rakendamine on põhimõtteliselt ebakindel. V1-käsu süntaksi alandamine ja set-env tugevdamine lubade loendiga töötaks tõenäoliselt otseste RCE vektorite vastu.
"Kuid keerukamate toimingute kasutamiseks piisab tõenäoliselt isegi hilisemates etappides kasutatud" tavaliste "keskkonnamuutujate alistamisest. Samuti ei ole ma analüüsinud teiste tööruumi juhtimisseadmete turvalisuse mõju.
Teisest küljestmainida, et hea pikaajaline lahendus See oleks töövoo käskude teisaldamine eraldi kanalile (nt uus failikirjeldus), et vältida STDOUTi poolt sõelumist, kuid see lõhub palju olemasolevaid tegevuskoode.
Mis puutub GitHubisse, siis selle arendajad postitasid 1. oktoobril nõuande ja kahetsesid haavatavaid käske, kuid väitsid, et see, mille Wilhelm leidis, on tegelikult "mõõdukas turvaauk." GitHub määras veaidentifikaatori CVE-2020-15228:
„GitHub Actions käitamise ajal on tuvastatud mõõdukas turvanõrkus, mis võib lubada radade ja keskkonnamuutujate süstimist töövoogudesse, mis logivad ebausaldusväärseid andmeid teenusesse STDOUT. See võib viia keskkonnamuutujate kasutuselevõtu või muutmiseni ilma töövoo autori tahteta.
„Selle probleemi lahendamiseks ja keskkonnamuutujate dünaamiliseks seadmiseks oleme kasutusele võtnud uue failikomplekti, mis käsitleb keskkonna- ja teevärskendusi töövoogudes.
„Kui kasutate ise hostitud maaklereid, veenduge, et nad oleksid värskendatud versioonile 2.273.1 või uuemale.
Wilhelmi sõnul võttis Project Zero 12. oktoobril ühendust GitHubiga ja pakkus neile ennetavalt 14-päevast akent, kui GitHub soovis haavatavate käskude keelamiseks rohkem aega. Loomulikult võeti pakkumine vastu ja GitHub lootis pärast 19. oktoobrit haavatavate käskude välja lülitada. Seejärel määras Project Zero uue avalikustamise kuupäeva 2. novembriks.
allikas: https://bugs.chromium.org