Google ṣafihan abawọn aabo kan lori GitHub

Zero idawọle ti tu awọn alaye ti irufin aabo pataki kan lori GitHub won si jabo iyen aṣiṣe naa ni ipa awọn aṣẹ iṣan-iṣẹ iṣe lati GitHub ati pe o ṣe apejuwe bi ibajẹ giga. (A ṣe awari kokoro yii ni Oṣu Keje, ṣugbọn da lori akoko iṣafihan ọjọ 90 bošewa, awọn alaye ti tu silẹ nikan ni bayi.)

Aṣiṣe yii di ọkan ninu awọn ailagbara diẹ ti ko ni atunṣe daradara ṣaaju boṣewa akoko-ọjọ 90 ti a fun nipasẹ Google Project Zero pari.

Gẹgẹbi Felix Wilhelm (ẹniti o ṣe awari rẹ), ọmọ ẹgbẹ ti Ẹgbẹ Zero Project, abawọn naa ni ipa lori awọn iṣẹ iṣe ti GitHub, ọpa kan lati ṣe adaṣe iṣẹ awọn olupilẹṣẹ. Eyi jẹ nitori awọn aṣẹ iṣan-iṣẹ Awọn iṣẹ “jẹ ipalara si awọn ikọlu abẹrẹ”:

“Awọn iṣe Github ṣe atilẹyin ẹya kan ti a pe ni awọn aṣẹ iṣan-iṣẹ bi ikanni ibaraẹnisọrọ laarin alagbata Action ati igbese ti a ṣe. Awọn ofin ṣiṣan ṣiṣiṣẹ ni a ṣe imuse ni / src / Runner.Worker / ActionCommandManager.cs ati pe o ṣiṣẹ nipa ṣiṣayẹwo STDOUT ti gbogbo awọn iṣe ti a ṣe nipasẹ wiwa ọkan ninu awọn ami ami aṣẹ meji.

Darukọ iyẹn iṣoro nla pẹlu ẹya yii ni pe o jẹ ipalara pupọ si awọn ikọlu abẹrẹ. Nitori ilana ipaniyan ṣe awari gbogbo ila ti a tẹ ni STDOUT fun awọn ofin iṣan-iṣẹ, gbogbo iṣe GitHub ti o ni akoonu ti ko ni igbẹkẹle gẹgẹbi apakan ti ipaniyan rẹ jẹ ipalara.

Ni ọpọlọpọ awọn ọran, agbara lati ṣeto awọn oniyipada ayika lainidii awọn abajade ni pipa koodu latọna jijin ni kete ti iṣan-iṣẹ miiran n ṣiṣẹ. Mo ti lo akoko diẹ ni wiwo awọn ibi ipamọ GitHub olokiki ati pe o fẹrẹ to eyikeyi iṣẹ akanṣe ti o lo awọn iṣẹ GitHub ti o nira diẹ jẹ ipalara si iru kokoro yii.

Nigbamii fun diẹ ninu awọn apẹẹrẹ ti bi a ṣe le lo kokoro naa ati tun daba ojutu kan:

“Emi ko ni idaniloju gaan kini ọna ti o dara julọ lati ṣatunṣe. Mo ro pe ọna ti a ṣe imuse awọn ofin ṣiṣiṣẹ ṣiṣeeṣe jẹ alailewu ipilẹ. Bibẹrẹ idinku sintasi aṣẹ v1 ati ƙarfafaet-env pẹlu atokọ igbasilẹ yoo ṣee ṣiṣẹ lodi si awọn aṣoju RCE taara.

“Sibẹsibẹ, paapaa agbara lati fagile awọn oniyipada ayika 'deede' ti a lo ni awọn igbesẹ nigbamii jẹ eyiti o to lati lo awọn iṣe ti eka diẹ sii. Tabi emi ti ṣe itupalẹ ipa aabo ti awọn iṣakoso miiran ni aaye iṣẹ.

Ni apa keji, darukọ pe ojutu igba pipẹ ti o dara Yoo jẹ lati gbe awọn aṣẹ iṣan-iṣẹ lọ si ikanni lọtọ (fun apẹẹrẹ alaye faili titun) lati yago fun ṣiṣiro nipasẹ STDOUT, ṣugbọn eyi yoo fọ ọpọlọpọ koodu iṣe tẹlẹ.

Bi o ṣe jẹ ti GitHub, awọn aṣagbega rẹ firanṣẹ imọran ni Oṣu Kẹwa Ọjọ 1 ati dinku awọn ofin ti o ni ipalara, ṣugbọn jiyan pe ohun ti Wilhelm rii ni o daju “ailagbara aabo aabo. GitHub sọtọ idanimọ kokoro CVE-2020-15228:

“A ti ṣe afipejuwe ailagbara aabo alabọde ni asiko Awọn iṣe GitHub ti o le gba abẹrẹ awọn ọna ati awọn oniye ayika laaye sinu ṣiṣan ṣiṣiṣẹ ti o wọle data ti ko ni igbẹkẹle si STDOUT. Eyi le ja si ifihan tabi iyipada ti awọn oniyipada ayika laisi ero ti onkọwe iṣan-iṣẹ.

“Lati ṣe iranlọwọ fun wa lati yanju iṣoro yii ati gba ọ laaye lati ṣeto dainamiki awọn oniyipada agbegbe, a ti ṣe agbekalẹ awọn faili tuntun lati mu ayika ati awọn imudojuiwọn ọna ni awọn iṣan-iṣẹ ṣiṣẹ.

“Ti o ba nlo awọn alagbata ti o gbalejo ararẹ, rii daju pe wọn ti ni imudojuiwọn si ẹya 2.273.1 tabi ga julọ.

Gẹgẹbi Wilhelm, ni Oṣu Kẹwa ọjọ 12, Project Zero kan si GitHub o si fun wọn ni igboya ni window ọjọ 14 ti GitHub fẹ akoko diẹ sii lati mu awọn ofin ipalara naa kuro. Nitoribẹẹ, a gba ẹbun naa ati GitHub nireti lati mu awọn ofin ipalara kuro lẹhin Oṣu Kẹwa Ọjọ 19. Zero idawọle lẹhinna ṣeto ọjọ ifihan tuntun fun Kọkànlá Oṣù 2.

Orisun: https://bugs.chromium.org


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Jẹ akọkọ lati sọ ọrọ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.