கிட்ஹப்பில் பாதுகாப்பு குறைபாட்டை கூகிள் வெளிப்படுத்துகிறது

திட்ட ஜீரோ கிட்ஹப்பில் கடுமையான பாதுகாப்பு மீறல் பற்றிய விவரங்களை வெளியிட்டது அவர்கள் அதைப் புகாரளிக்கிறார்கள் பிழை செயல் பணிப்பாய்வு கட்டளைகளை பாதிக்கிறது GitHub இலிருந்து மற்றும் அதிக தீவிரம் என விவரிக்கப்படுகிறது. (இந்த பிழை ஜூலை மாதம் கண்டுபிடிக்கப்பட்டது, ஆனால் நிலையான 90 நாள் வெளிப்படுத்தல் காலத்தின் அடிப்படையில், விவரங்கள் இப்போது மட்டுமே வெளியிடப்பட்டுள்ளன.)

இந்த குறைபாடு சரி செய்யப்படாத சில பாதிப்புகளில் ஒன்றாகும் கூகிள் திட்ட பூஜ்ஜியத்தால் வழங்கப்பட்ட நிலையான 90 நாள் காலக்கெடு காலாவதியாகும் முன்பு சரியாக.

பெலிக்ஸ் வில்ஹெல்ம் கருத்துப்படி (யார் அதைக் கண்டுபிடித்தார்), திட்ட ஜீரோ குழுவின் உறுப்பினர், குறைபாடு டெவலப்பர்களின் பணியை தானியக்கமாக்குவதற்கான ஒரு கருவியான கிட்ஹப்பின் செயல்களின் செயல்பாட்டை பாதிக்கிறது. ஏனென்றால், செயல்கள் பணிப்பாய்வு கட்டளைகள் "ஊசி தாக்குதல்களுக்கு பாதிக்கப்படக்கூடியவை":

“செயல்கள் கிதுப், அதிரடி தரகர் மற்றும் செயல்படுத்தப்பட்ட செயலுக்கு இடையிலான தகவல் தொடர்பு சேனலாக பணிப்பாய்வு கட்டளைகள் எனப்படும் அம்சத்தை ஆதரிக்கிறது. பணிப்பாய்வு கட்டளைகள் / src / Runner.Worker / ActionCommandManager.cs இல் செயல்படுத்தப்படுகின்றன, மேலும் இது இரண்டு கட்டளை குறிப்பான்களில் ஒன்றைத் தேடுவதன் மூலம் நிகழ்த்தப்படும் அனைத்து செயல்களின் STDOUT ஐ பாகுபடுத்துவதன் மூலம் செயல்படுகிறது.

என்று குறிப்பிடுங்கள் இந்த அம்சத்தின் பெரிய சிக்கல் என்னவென்றால், இது ஊசி தாக்குதல்களுக்கு மிகவும் பாதிக்கப்படக்கூடியது. செயல்பாட்டு செயல்முறை STDOUT இல் அச்சிடப்பட்ட ஒவ்வொரு வரிசையையும் பணிப்பாய்வு கட்டளைகளுக்காக ஸ்கேன் செய்வதால், அதன் செயல்பாட்டின் ஒரு பகுதியாக நம்பத்தகாத உள்ளடக்கத்தைக் கொண்டிருக்கும் ஒவ்வொரு GitHub செயலும் பாதிக்கப்படக்கூடியது.

பெரும்பாலான சந்தர்ப்பங்களில், தன்னிச்சையான சூழல் மாறிகள் அமைக்கும் திறன் மற்றொரு பணிப்பாய்வு இயங்கும்போது ரிமோட் குறியீடு செயல்படுத்தப்படும். பிரபலமான கிட்ஹப் களஞ்சியங்களைப் பார்ப்பதற்கு நான் சிறிது நேரம் செலவிட்டேன், சற்றே சிக்கலான கிட்ஹப் செயல்களைப் பயன்படுத்தும் எந்தவொரு திட்டமும் இந்த வகையான பிழைக்கு பாதிக்கப்படக்கூடியது.

பின்னர், பிழை எவ்வாறு பயன்படுத்தப்படலாம் என்பதற்கான சில எடுத்துக்காட்டுகளைக் கொடுத்தது மேலும் ஒரு தீர்வையும் பரிந்துரைத்தார்:

"அதை சரிசெய்ய சிறந்த வழி எது என்று எனக்குத் தெரியவில்லை. பணிப்பாய்வு கட்டளைகள் செயல்படுத்தப்படும் முறை அடிப்படையில் பாதுகாப்பற்றது என்று நான் நினைக்கிறேன். V1 கட்டளை தொடரியல் மற்றும் ஒரு அனுமதி பட்டியலுடன் பலப்படுத்துதல்- env ​​ஐ மதிப்பிடுவது நேரடி RCE திசையன்களுக்கு எதிராக செயல்படும்.

இருப்பினும், பிற்கால படிகளில் பயன்படுத்தப்படும் 'இயல்பான' சூழல் மாறிகளை மேலெழுதும் திறன் கூட மிகவும் சிக்கலான செயல்களைப் பயன்படுத்த போதுமானதாக இருக்கும். பணியிடத்தில் உள்ள பிற கட்டுப்பாடுகளின் பாதுகாப்பு தாக்கத்தை நான் பகுப்பாய்வு செய்யவில்லை.

மறுபுறம், ஒரு நல்ல நீண்ட கால தீர்வு என்று குறிப்பிடவும் STDOUT ஆல் பாகுபடுத்தப்படுவதைத் தவிர்ப்பதற்கு பணிப்பாய்வு கட்டளைகளை ஒரு தனி சேனலுக்கு (எ.கா. ஒரு புதிய கோப்பு விவரிப்பான்) நகர்த்துவதாக இருக்கும், ஆனால் இது ஏற்கனவே இருக்கும் நிறைய செயல் குறியீட்டை உடைக்கும்.

கிட்ஹப்பைப் பொறுத்தவரை, அதன் டெவலப்பர்கள் அக்டோபர் 1 ம் தேதி ஒரு ஆலோசனையை வெளியிட்டு பாதிக்கப்படக்கூடிய கட்டளைகளை நீக்கிவிட்டனர், ஆனால் வில்ஹெல்ம் கண்டுபிடித்தது உண்மையில் "மிதமான பாதுகாப்பு பாதிப்பு" என்று வாதிட்டார். கிட்ஹப் பிழை அடையாளங்காட்டி CVE-2020-15228 ஐ ஒதுக்கியது:

"கிட்ஹப் செயல்களின் இயக்க நேரத்தில் ஒரு மிதமான பாதுகாப்பு பாதிப்பு அடையாளம் காணப்பட்டுள்ளது, இது நம்பத்தகாத தரவை STDOUT இல் பதிவுசெய்யும் பணிப்பாய்வுகளில் பாதைகள் மற்றும் சுற்றுச்சூழல் மாறிகள் செலுத்த அனுமதிக்கலாம். இது பணிப்பாய்வு ஆசிரியரின் நோக்கம் இல்லாமல் சூழல் மாறிகள் அறிமுகப்படுத்த அல்லது மாற்றத்திற்கு வழிவகுக்கும்.

"இந்த சிக்கலைத் தீர்க்க எங்களுக்கு உதவவும், சூழல் மாறிகளை மாறும் வகையில் அமைக்கவும் அனுமதிக்க, பணிப்பாய்வுகளில் சுற்றுச்சூழல் மற்றும் பாதை புதுப்பிப்புகளைக் கையாள புதிய கோப்புகளை நாங்கள் அறிமுகப்படுத்தியுள்ளோம்.

“நீங்கள் சுய ஹோஸ்ட் செய்த புரோக்கர்களைப் பயன்படுத்தினால், அவை பதிப்பு 2.273.1 அல்லது அதற்கு மேற்பட்டதாக புதுப்பிக்கப்பட்டுள்ளன என்பதை உறுதிப்படுத்திக் கொள்ளுங்கள்.

வில்ஹெல்மின் கூற்றுப்படி, அக்டோபர் 12 ஆம் தேதி, திட்ட ஜீரோ கிட்ஹப்பைத் தொடர்பு கொண்டு, பாதிக்கப்படக்கூடிய கட்டளைகளை முடக்க கிட்ஹப் அதிக நேரம் விரும்பினால், அவர்களுக்கு 14 நாள் சாளரத்தை வழங்கியது. நிச்சயமாக, சலுகை ஏற்றுக்கொள்ளப்பட்டது மற்றும் அக்டோபர் 19 க்குப் பிறகு பாதிக்கப்படக்கூடிய கட்டளைகளை முடக்க கிட்ஹப் நம்பினார். திட்ட ஜீரோ நவம்பர் 2 க்கு புதிய வெளிப்படுத்தல் தேதியை நிர்ணயித்தது.

மூல: https://bugs.chromium.org


கட்டுரையின் உள்ளடக்கம் எங்கள் கொள்கைகளை பின்பற்றுகிறது தலையங்க நெறிமுறைகள். பிழையைப் புகாரளிக்க கிளிக் செய்க இங்கே.

கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது.

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.