Project Zero mengeluarkan perincian pelanggaran keselamatan yang serius di GitHub dan mereka melaporkan bahawa ralat mempengaruhi arahan aliran kerja tindakan dari GitHub dan digambarkan sebagai keparahan tinggi. (Bug ini dijumpai pada bulan Julai, tetapi di bawah tempoh pendedahan selama 90 hari, perinciannya baru dikeluarkan sekarang.)
Kekurangan ini menjadi salah satu daripada beberapa kelemahan yang tidak dapat diperbaiki dengan betul sebelum jangka masa standard 90 hari yang diberikan oleh Google Project Zero tamat.
Menurut Felix Wilhelm (siapa yang mengetahuinya), anggota pasukan Project Zero, kelemahan itu mempengaruhi fungsi tindakan GitHub, alat untuk mengautomasikan kerja pemaju. Ini kerana arahan aliran kerja Actions "terdedah kepada serangan suntikan":
"Actions Github menyokong fitur yang disebut perintah alur kerja sebagai saluran komunikasi antara pelari Aksi dan tindakan yang dilaksanakan. Perintah aliran kerja dilaksanakan di / src / Runner.Worker / ActionCommandManager.cs dan berfungsi dengan menghuraikan STDOUT semua tindakan yang dilakukan dengan mencari salah satu daripada dua penanda arahan.
Sebutkan bahawa masalah besar dengan ciri ini adalah bahawa ia sangat terdedah kepada serangan suntikan. Kerana proses pelaksanaan mengimbas setiap baris yang dicetak dalam STDOUT untuk perintah aliran kerja, setiap tindakan GitHub yang berisi konten yang tidak dipercaya sebagai bagian dari pelaksanaannya rentan.
Dalam kebanyakan kes, kemampuan untuk menetapkan pemboleh ubah persekitaran sewenang-wenangnya menghasilkan pelaksanaan kod jauh sebaik sahaja aliran kerja lain dijalankan. Saya telah meluangkan masa untuk melihat repositori GitHub yang popular, dan hampir semua projek yang menggunakan tindakan GitHub yang agak rumit terdedah kepada bug semacam ini.
Kemudian memberikan beberapa contoh bagaimana bug dapat dieksploitasi dan juga mencadangkan penyelesaian:
"Saya benar-benar tidak pasti apakah kaedah terbaik untuk memperbaikinya. Saya fikir cara arahan aliran kerja dilaksanakan pada dasarnya tidak selamat. Menyebarkan sintaks perintah v1 dan Strengthet-env dengan senarai membenarkan mungkin akan berfungsi melawan vektor RCE langsung.
"Namun, bahkan kemampuan untuk mengatasi pemboleh ubah persekitaran 'normal' yang digunakan dalam langkah-langkah kemudian mungkin cukup untuk memanfaatkan tindakan yang lebih kompleks. Saya juga tidak menganalisis kesan keselamatan kawalan lain di ruang kerja.
Sebaliknya, nyatakan bahawa penyelesaian jangka panjang yang baik adalah untuk memindahkan perintah aliran kerja ke saluran yang terpisah (contohnya deskriptor fail baru) untuk mengelakkan penguraian oleh STDOUT, tetapi ini akan memecahkan banyak kod tindakan yang ada.
Adapun GitHub, pembangunnya menyiarkan nasihat pada 1 Oktober dan menghentikan perintah yang rentan, tetapi berpendapat bahawa apa yang dijumpai Wilhelm sebenarnya adalah "kerentanan keselamatan sederhana." GitHub memberikan pengecam bug CVE-2020-15228:
“Kerentanan keselamatan yang sederhana telah dikenal pasti dalam waktu operasi GitHub Actions yang dapat memungkinkan suntikan laluan dan pemboleh ubah persekitaran ke dalam aliran kerja yang mencatat data yang tidak dipercayai ke STDOUT. Ini boleh menyebabkan pengenalan atau pengubahsuaian pemboleh ubah persekitaran tanpa niat penulis aliran kerja.
"Untuk membantu kami menyelesaikan masalah ini dan membolehkan anda menetapkan pemboleh ubah persekitaran secara dinamis, kami telah memperkenalkan sekumpulan fail baru untuk menangani kemas kini persekitaran dan laluan dalam aliran kerja.
"Jika anda menggunakan broker yang dihoskan sendiri, pastikan mereka diperbaharui ke versi 2.273.1 atau lebih tinggi.
Menurut Wilhelm, pada 12 Oktober, Project Zero menghubungi GitHub dan secara proaktif menawarkan mereka tempoh 14 hari jika GitHub mahukan lebih banyak masa untuk mematikan perintah yang rentan. Sudah tentu, tawaran itu diterima dan GitHub berharap dapat mematikan perintah yang rentan setelah 19 Oktober. Project Zero kemudian menetapkan tarikh pendedahan baru untuk 2 November.
Fuente: https://bugs.chromium.org