安全

谷歌 Project Zero 团队披露了 GitHub Actions 中存在的严重安全漏洞

  • 浏览次数 15901
  • 喜欢 0
  • 评分 12345

过去几年,谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下,受影响的机构将有 90 天的时间来筹备修复,然后相关漏洞详情才会被公开披露。最新消息是,谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。

据悉,问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions,主要负责与“动作执行器”(Action Runner)之间的通信工作。

a4b9d7ca1a380e7

Felix Wilhelm 在审查源代码时发现了这个严重的安全隐患:“当进程解析至 STDOUT 的每一行,以寻找工作流命令时,每个 GitHub 操作都会在执行过程中打印出不受信任的内容”。

自 7 月 21 日发现该安全漏洞之后,Project Zero 团队已经及时向 GitHub 方面通报了此事,并为其提供了标准的 90 天宽限期(截止 10 月 18 日)。

最终 GitHub 决定弃用易受攻击的命令,并发出“中等严重的安全漏洞”的修补建议,通知开发者更新其工作流程。

10 月 16 日,GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期,以完全禁用相关命令(新截止日期为 11 月 2 日)。

不过当 GitHub 试图再申请 48 小时的宽限期后,Project Zero 觉得一再拖延并不能解决问题,并且有违标准的漏洞披露流程,于是最终还是披露了漏洞详情和概念验证代码。

 

 

(消息来源:cnBeta;封面来自网络)