גוגל ריווילז אַ זיכערהייט פלאָ אויף גיטהוב

Project זעראָ באפרייט פרטים פון אַ ערנסט זיכערהייט בריטש אויף גיטהוב און זיי באַריכט אַז די טעות אַפעקץ אַקשאַנז וואָרקפלאָוו קאַמאַנדז פֿון גיטהוב און איז דיסקרייבד ווי הויך שטרענגקייַט. (דער זשוק איז דיסקאַווערד אין יולי, אָבער אונטער דער נאָרמאַל 90-טאָג אַנטפּלעקונג צייַט, די דעטאַילס זענען בלויז פריי איצט.)

דער פלאָ איז געווארן איינער פון די ווייניק וואַלנעראַביליטיז וואָס זענען נישט פאַרפעסטיקט רעכט איידער די נאָרמאַל 90-טאָג צייט ראַם געגעבן דורך Google Project זעראָ אויסגעגאנגען.

לויט Felix Wilhelm (וואָס דיסקאַווערד עס), דער מיטגליד פון דער Project זעראָ מאַנשאַפֿט, די פלאָ אַפעקץ די אַקשאַנז פונקציע פון ​​גיטהוב, אַ געצייַג צו אָטאַמייט די אַרבעט פון דעוועלאָפּערס. דאָס איז ווייַל אַקשאַנז וואָרקפלאָוו קאַמאַנדז זענען "שפּירעוודיק צו ינדזשעקשאַן אנפאלן":

"אַקטיאָנס גיטהוב שטיצט אַ שטריך גערופֿן וואָרקפלאָוו קאַמאַנדז ווי אַ קאָמוניקאַציע קאַנאַל צווישן די אַקשאַן מעקלער און די עקסאַקיוטאַד קאַמף. וואָרקפלאָוו קאַמאַנדז זענען ימפּלאַמענאַד אַרום / src / Runner.Worker / ActionCommandManager.cs, און עס אַרבעט דורך פּאַרסינג STDOUT פון אַלע אַקשאַנז וואָס זענען דורכגעקאָכט דורך זוכן פון איינער פון די צוויי באַפֿעלן מאַרקערס.

דערמאָנען אַז דער גרויס פּראָבלעם מיט דעם שטריך איז אַז עס איז זייער שפּירעוודיק פֿאַר ינדזשעקשאַן אנפאלן. ווייַל די דורכפירונג פּראָצעס סקאַנז יעדער רודערן געדרוקט אין STDOUT פֿאַר וואָרקפלאָוו קאַמאַנדז, יעדער גיטהוב קאַמף וואָס כּולל אַנטראַסטיד אינהאַלט ווי אַ טייל פון דער דורכפירונג איז שפּירעוודיק.

אין רובֿ קאַסעס, די פיייקייט צו שטעלן אַרביטראַריש סוויווע וועריאַבאַלז רעזולטאַטן אין דורכפירונג פון קאָד ווי באַלד ווי אן אנדער וואָרקפלאָוו איז פליסנדיק. איך'ווע פארבראכט עטלעכע מאָל צו קוקן אין פאָלקס גיטהוב ריפּאַזאַטאָריז און כּמעט קיין פּרויעקט וואָס ניצט אַ ביסל קאָמפּלעקס גיטהוב אַקשאַנז איז שפּירעוודיק צו דעם טיפּ פון זשוק.

שפעטער געגעבן עטלעכע ביישפילן פון ווי די זשוק קען זיין עקספּלויטאַד און אויך סאַגדזשעסטיד אַ לייזונג:

איך בין טאַקע ניט זיכער וואָס איז דער בעסטער וועג צו פאַרריכטן עס. איך טראַכטן די וועג ווי די וואָרקפלאָוו קאַמאַנדז זענען ימפּלאַמענאַד איז פאַנדאַמענטאַלי ינסאַקיער. דעפּרעסיאַטינג די וו 1 באַפֿעלן סינטאַקס און פֿאַרשטאַרקונג set-env מיט אַ דערלויבן רשימה וואָלט מיסטאָמע אַרבעט קעגן דירעקט RCE וועקטערז.

"אָבער, אפילו די פיייקייט צו אָווועררייד די 'נאָרמאַל' סוויווע וועריאַבאַלז געניצט אין שפּעטער סטעפּס איז מיסטאָמע גענוג צו גווורע די מער קאָמפּליצירט אַקשאַנז. איך האָב אויך נישט אַנאַלייזד די זיכערהייט פּראַל פון אנדערע קאָנטראָלס אין די וואָרקספּאַסע.

אויף די אנדערע האַנט, דערמאָנען אַז אַ גוט לאַנג-טערמין לייזונג עס וואָלט זיין צו אַריבערפירן די וואָרקפלאָוו קאַמאַנדז צו אַ באַזונדער קאַנאַל (למשל, אַ נייַע דעסקריפּטאָר) צו ויסמיידן פּאַרסינג דורך STDOUT, אָבער דאָס וועט ברעכן אַ פּלאַץ פון יגזיסטינג קאַמף קאָד.

וועגן גיטהוב, די דעוועלאָפּערס האָבן אַרייַנגעשיקט אַן אַדווייזערי אויף אקטאבער 1 און דעפּראַקייטיד די שפּירעוודיק קאַמאַנדז, אָבער אַרגיוד אַז ווילהעלם געפֿונען איז אין פאַקט אַ "מעסיק זיכערהייט וואַלנעראַביליטי." גיטהוב אַסיינד די זשוק ידענטיפיער CVE-2020-15228:

אין די גיטהוב אַקטיאָנס רונטימע איז יידענאַפייד אַ מעסיק זיכערהייט וואַלנעראַביליטי וואָס קענען לאָזן די ינדזשעקשאַן פון פּאַטס און סוויווע וועריאַבאַלז אין וואָרקפלאָווס וואָס קלאָץ אַנסטרוסט דאַטן צו STDOUT. דאָס קען פירן צו די ינטראַדאַקשאַן אָדער מאַדאַפאַקיישאַן פון סוויווע וועריאַבאַלז אָן די כוונה פון די וואָרקפלאָוו.

"צו העלפֿן אונדז צו סאָלווע דעם פּראָבלעם און לאָזן איר דינאַמיקאַללי שטעלן סוויווע וועריאַבאַלז, מיר האָבן באַקענענ אַ נייַ גאַנג פון טעקעס צו האַנדלען מיט סוויווע און דרך דערהייַנטיקונגען אין ווערקפלאָוז.

"אויב איר נוצן זיך-כאָוסטיד בראָקערס, מאַכן זיכער אַז זיי זענען דערהייַנטיקט צו ווערסיע 2.273.1 אָדער העכער.

לויט Wilhelm, אויף 12 אקטאבער, Project Zero קאָנטאַקט GitHub און פּראָואַקטיוולי געפֿינט זיי אַ 14-טאָג פֿענצטער אויב GitHub געוואלט מער צייט צו דיסייבאַל די שפּירעוודיק קאַמאַנדז. דאָך, דער פאָרשלאָג איז געווען אנגענומען און גיטהוב כאָופּט צו דיסייבאַל די שפּירעוודיק קאַמאַנדז נאָך 19 אקטאבער. פּראָיעקט נול האָט דאַן באַשטימט די נייַע אַנטפּלעקונג דאַטע פֿאַר 2 נאוועמבער.

מקור: https://bugs.chromium.org


דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

זייט דער ערשטער צו באַמערקן

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס. Required fields זענען אנגעצייכנט מיט *

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.