Google нь GitHub дээрх аюулгүй байдлын алдааг илрүүлжээ

Project Zero нь GitHub дээр аюулгүй байдлын ноцтой зөрчлийн талаархи дэлгэрэнгүй мэдээллийг гаргажээ мөн тэд үүнийг мэдээлдэг алдаа нь үйл ажиллагааны ажлын урсгалын командуудад нөлөөлдөг GitHub-ээс авсан бөгөөд үүнийг хүнд явцтай гэж тодорхойлсон болно. (Энэ алдааг 90-р сард илрүүлсэн боловч XNUMX хоногийн хугацаатай нээлттэй байх хугацаанд нарийвчилсан мэдээллийг одоо л гаргасан болно.)

Энэ алдаа нь засч залруулаагүй цөөн хэдэн эмзэг байдлын нэг болжээ Google Project Zero-ээс олгосон 90 хоногийн хугацаатай стандарт хугацаа дуусахаас өмнө.

Феликс Вильгельмийн хэлснээр (хэн үүнийг нээсэн), Project Zero багийн гишүүн, алдаа нь хөгжүүлэгчдийн ажлыг автоматжуулах хэрэгсэл болох GitHub-ийн үйл ажиллагаанд нөлөөлдөг. Учир нь Actions ажлын урсгалын командууд нь "тарилгын довтолгоонд өртөмтгий" байдаг.

“Actions Github нь Action runner болон гүйцэтгэсэн үйлдлийн хоорондох холбооны суваг болох ажлын урсгалын командууд хэмээх функцийг дэмждэг. Ажлын урсгалын тушаалуудыг / src / Runner.Worker / ActionCommandManager.cs-д хэрэгжүүлдэг бөгөөд энэ нь хоёр тушаалын аль нэгийг хайж гүйцэтгэсэн бүх үйлдлүүдийн STDOUT-ийг задлан шинжилж ажилладаг.

Үүнийг дурдах Энэ онцлог шинжтэй холбоотой томоохон асуудал бол тарилгын довтолгоонд маш эмзэг байдаг. Гүйцэтгэх процесс нь ажлын урсгалын тушаалуудыг STDOUT дээр хэвлэсэн мөр бүрийг сканнерддаг тул түүний гүйцэтгэлийн нэг хэсэг болох итгэлгүй агуулгыг агуулсан GitHub үйлдэл бүр эмзэг байдаг.

Ихэнх тохиолдолд орчны дурын хувьсагчийг тохируулах чадвар нь өөр ажлын урсгал ажиллаж эхэлмэгц алсын код гүйцэтгэхэд хүргэдэг. Би алдартай GitHub сангуудыг үзэх гэж хэсэг хугацаа өнгөрөөсөн бөгөөд бага зэрэг төвөгтэй GitHub үйлдлийг ашигладаг бараг бүх төслүүд энэ төрлийн алдаанд өртөмтгий байдаг.

Дараа нь алдааг хэрхэн ашиглаж болохыг харуулсан зарим жишээг өгөв бас шийдлийг санал болгосон:

“Үүнийг засах хамгийн сайн арга юу болохыг би үнэхээр сайн мэдэхгүй байна. Ажлын урсгалын тушаалуудыг хэрэгжүүлэх арга нь үндсэндээ найдваргүй гэж би боддог. V1 командын синтакс ба .крейтинг-env-ийг зөвшөөрөгдсөн жагсаалтаар тараах нь шууд RCE векторуудын эсрэг ажиллах байх.

“Гэсэн хэдий ч, дараачийн үе шатуудад ашигласан 'хэвийн' орчны хувьсагчуудыг хүчингүй болгох чадвар ч гэсэн илүү төвөгтэй үйлдлүүдийг ашиглахад хангалттай байж болох юм. Ажлын талбар дахь бусад хяналтуудын аюулгүй байдалд үзүүлэх нөлөөлөлд би дүн шинжилгээ хийгээгүй.

Нөгөө талаас, урт хугацааны сайн шийдэл гэдгийг дурдах STDOUT-т задлан шинжлэхээс зайлсхийхийн тулд ажлын урсгалын командыг тусад нь суваг руу шилжүүлэх хэрэгтэй (жишээлбэл, шинэ файлын тодорхойлогч), гэхдээ энэ нь одоо байгаа олон үйлдлийн кодыг эвдэх болно.

GitHub-ийн хувьд түүний хөгжүүлэгчид аравдугаар сарын 1-нд зөвлөмж нийтэлж, эмзэг командуудыг хүчингүй болгосон боловч Вильгельм олж мэдсэн зүйл нь үнэндээ "аюулгүй байдлын дунд зэргийн эмзэг байдал" гэж нотолжээ. GitHub нь алдааны танигчийг CVE-2020-15228-д оноосон:

“GitHub Actions-ийн ажиллах явцад аюулгүй байдлын дунд зэргийн эмзэг байдлыг олж тогтоосон бөгөөд энэ нь STDOUT руу найдваргүй өгөгдлийг бүртгэдэг ажлын урсгалд зам болон орчны хувьсагчдыг оруулах боломжийг олгодог. Энэ нь ажлын урсгалын зохиогчийн санаа бодолгүйгээр орчны хувьсагчдыг нэвтрүүлэх эсвэл өөрчлөхөд хүргэж болзошгүй юм.

“Энэ асуудлыг шийдвэрлэхэд бидэнд туслах, орчны хувьсагчуудыг динамикаар тохируулах боломжийг олгохын тулд бид ажлын урсгал дахь орчин, зам шинэчлэлтийг зохицуулах шинэ багц файлуудыг нэвтрүүлсэн.

“Хэрэв та өөрөө зохион байгуулдаг брокер ашиглаж байгаа бол тэдгээрийг 2.273.1 буюу түүнээс дээш хувилбар болгон шинэчилсэн эсэхийг шалгаарай.

Вилхелмын хэлснээр, 12-р сарын 14-нд Project Zero GitHub-тэй холбоо барьж, GitHub эмзэг командуудыг идэвхгүй болгоход илүү их цаг хугацаа шаардагдах тохиолдолд тэдэнд 19 хоногийн цонхыг санал болгов. Мэдээжийн хэрэг, саналыг хүлээн авч, GitHub аравдугаар сарын 2-ээс хойш эмзэг командуудыг идэвхгүй болгоно гэж найдаж байсан. Дараа нь Project Zero шинэ мэдээлэл өгөх өдрийг XNUMX-р сарын XNUMX-нд тогтоов.

Эх сурвалж: https://bugs.chromium.org


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.