גוגל מגלה פגם אבטחה ב- GitHub

פרויקט אפס פרסם פרטים על הפרת אבטחה חמורה ב- GitHub והם מדווחים על כך השגיאה משפיעה על פקודות זרימת העבודה לפעולה מ- GitHub ומתואר כחומרה גבוהה. (באג זה התגלה ביולי, אך בהתבסס על תקופת הגילוי הרגילה ל 90 יום, הפרטים פורסמו רק כעת).

ליקוי זה הפך לאחת הפגיעות הבודדות שלא תוקנה כראוי לפני שתקופת המונח הרגילה של 90 יום שהוענקה על ידי Google Project Zero פגה.

לדברי פליקס וילהלם (שגילה את זה), איש צוות Project Zero, הפגם משפיע על תכונת הפעולות של GitHub, כלי לאוטומציה של עבודת המפתחים. הסיבה לכך היא שפקודות זרימת העבודה של פעולות הן "פגיעות להתקפות הזרקה":

"פעולות Github תומך בתכונה הנקראת פקודות זרימת עבודה כערוץ תקשורת בין המתווך Action לבין הפעולה שבוצעה. פקודות זרימת עבודה מיושמות ב- / src / Runner.Worker / ActionCommandManager.cs וזה עובד על ידי ניתוח STDOUT של כל הפעולות שבוצעו על ידי חיפוש אחד משני סמני הפקודה.

הזכיר ש הבעיה הגדולה בתכונה זו היא שהיא פגיעה מאוד להתקפות הזרקה. מכיוון שתהליך הביצוע סורק את כל השורות המודפסות ב- STDOUT אחר פקודות של זרימת עבודה, כל פעולת GitHub שמכילה תוכן לא מהימן כחלק מהביצוע שלה היא פגיעה.

ברוב המקרים, היכולת להגדיר משתני סביבה שרירותיים גורמת לביצוע קוד מרחוק ברגע שזרימת עבודה נוספת פועלת. הקדשתי זמן מה לבחון מאגרי GitHub פופולריים וכמעט כל פרויקט המשתמש בפעולות GitHub מורכבות מעט חשוף לסוג מסוג זה.

לאחר מכן, נתן כמה דוגמאות כיצד ניתן לנצל את הבאג והציע גם פיתרון:

"אני ממש לא בטוח מה הדרך הטובה ביותר לתקן את זה. אני חושב שהדרך בה מיושמות פקודות זרימת העבודה אינה בסיסית. ירידת תחביר הפקודה v1 וחיזוק set-env עם רשימת היתרים יפעלו ככל הנראה כנגד וקטורי RCE ישירים.

"עם זאת, גם היכולת לעקוף את משתני הסביבה ה'רגילים 'המשמשים בשלבים מאוחרים יותר היא כנראה מספיק כדי לנצל את הפעולות המורכבות יותר. כמו כן, לא ניתחתי את השפעת האבטחה של שאר הפקדים בסביבת העבודה.

מאידך גיסא, להזכיר כי פתרון טוב לטווח הארוך זה יהיה להעביר את פקודות זרימת העבודה לערוץ נפרד (למשל מתאר קבצים חדש) כדי למנוע ניתוח על ידי STDOUT, אך זה ישבור הרבה קוד פעולה קיים.

באשר ל- GitHub, המפתחים שלה פרסמו ייעוץ ב -1 באוקטובר ושיחרלו את הפקודות הפגיעות, אך טענו כי מה שווילהלם מצא הוא למעשה "פגיעות ביטחונית מתונה". GitHub הקצה את מזהה הבאגים CVE-2020-15228:

"זוהתה פגיעת אבטחה בינונית בזמן הריצה של GitHub Actions שעשויה לאפשר הזרקת נתיבים ומשתני סביבה לתהליכי עבודה שמתעדים נתונים לא מהימנים ל- STDOUT. זה יכול להוביל להכנסה או שינוי של משתני סביבה ללא כוונת מחבר זרימת העבודה.

“כדי לעזור לנו לפתור בעיה זו ולאפשר לך להגדיר באופן דינמי משתני סביבה, הצגנו קבוצה חדשה של קבצים לטיפול בעדכוני סביבה ונתיבים בתהליכי העבודה.

"אם אתה משתמש במתווכים המתארחים בעצמך, ודא שהם מעודכנים לגירסה 2.273.1 ומעלה.

לדברי וילהלם, ב- 12 באוקטובר, פרויקט אפס יצר קשר עם GitHub והציע להם באופן יזום חלון של 14 יום אם GitHub היה רוצה יותר זמן להשבית את הפקודות הפגיעות. כמובן שההצעה התקבלה ו- GitHub קיווה להשבית את הפקודות הפגיעות לאחר 19 באוקטובר. פרויקט אפס קבע אז את תאריך הגילוי החדש ל -2 בנובמבר.

מקור: https://bugs.chromium.org


היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.