Google otkriva sigurnosnu manu na GitHubu

Project Zero objavio je detalje ozbiljnog narušavanja sigurnosti na GitHubu i oni to izvještavaju pogreška utječe na naredbe tijeka rada akcije s GitHub-a i opisuje se kao ozbiljna. (Ova je pogreška otkrivena u srpnju, ali prema standardnom 90-dnevnom razdoblju otkrivanja, detalji su objavljeni tek sada.)

Ova je mana postala jedna od rijetkih ranjivosti koja nije otklonjena pravilno prije isteka standardnog vremenskog okvira od 90 dana koji je odobrio Google Project Zero.

Prema Felixu Wilhelmu (koji ga je otkrio), član tima Project Zero, nedostatak utječe na značajku radnji GitHub-a, alata za automatizaciju rada programera. To je zato što su naredbe tijeka radnje „Action“ ranjive na napade ubrizgavanjem:

„Akcije Github podržava značajku koja se naziva naredbe tijeka rada kao komunikacijski kanal između posrednika radnji i izvršene akcije. Naredbe tijeka rada implementirane su u / src / Runner.Worker / ActionCommandManager.cs i djeluje raščlanjivanjem STDOUT svih radnji izvršenih traženjem jedne od dvije oznake naredbi.

Spomenite to veliki problem ove značajke je što je vrlo ranjiva na napade injekcijama. Budući da postupak izvršenja skenira svaki redak ispisan u STDOUT za naredbe tijeka rada, svaka GitHub akcija koja sadrži nepouzdani sadržaj kao dio njenog izvršavanja ranjiva je.

U većini slučajeva sposobnost postavljanja proizvoljnih varijabli okruženja rezultira daljinskim izvršavanjem koda čim se pokrene drugi tijek rada. Proveo sam neko vrijeme gledajući popularna GitHub spremišta i gotovo je svaki projekt koji koristi pomalo složene GitHub akcije ranjiv na ovu vrstu bugova.

nakon toga, dao je nekoliko primjera kako se greška mogla iskoristiti i također predložio rješenje:

“Zaista nisam siguran koji je najbolji način da se to popravi. Mislim da je način provedbe naredbi tijeka rada u osnovi nesiguran. Amortizacija sintakse naredbe v1 i jačanje set-env s popisom dopuštenja vjerojatno bi djelovalo protiv izravnih RCE vektora.

“Međutim, čak je i sposobnost nadjačavanja 'normalnih' varijabli okruženja korištenih u kasnijim koracima vjerojatno dovoljna za iskorištavanje složenijih radnji. Niti sam analizirao sigurnosni utjecaj ostalih kontrola u radnom prostoru.

S druge strane, spomenite to dobro dugoročno rješenje Bilo bi premjestiti naredbe tijeka rada na zasebni kanal (npr. Novi deskriptor datoteke) kako bi se izbjeglo raščlanjivanje pomoću STDOUT, ali to će slomiti puno postojećeg akcijskog koda.

Što se tiče GitHub-a, njegovi programeri objavili su savjet 1. listopada i ukinuli ranjive naredbe, ali tvrdili su da je ono što je Wilhelm otkrio zapravo "umjerena sigurnosna ranjivost". GitHub je dodijelio identifikator greške CVE-2020-15228:

“Utvrđena je umjerena sigurnosna ranjivost u izvedbi GitHub Actions koja može omogućiti ubrizgavanje staza i varijabli okoline u tijekove rada koji nepouzdane podatke bilježe u STDOUT. To može dovesti do uvođenja ili modificiranja varijabli okoline bez namjere autora tijeka rada.

„Kako bismo nam pomogli riješiti ovaj problem i omogućili vam dinamičko postavljanje varijabli okruženja, uveli smo novi skup datoteka za obradu ažuriranja okoline i puta u tijekovima rada.

“Ako koristite samostalne hostere, provjerite jesu li ažurirani na verziju 2.273.1 ili noviju.

Prema Wilhelmu, Project Zero je 12. listopada kontaktirao GitHub i proaktivno im ponudio 14-dnevni prozor ako GitHub želi više vremena da onemogući ranjive naredbe. Naravno, ponuda je prihvaćena i GitHub se nadao onemogućiti ranjive naredbe nakon 19. listopada. Tada je Project Zero odredio novi datum objavljivanja za 2. studeni.

izvor: https://bugs.chromium.org


Budite prvi koji će komentirati

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.