Github被发现存在高危漏洞。基本上,所有具有复杂GithubActions的项目都容易受到攻击。这个代号为CVE-2020-15228的CVE漏洞是谷歌著名的零计划网络安全团队在7月份发现的。由于ProjectZero之前改变了漏洞披露政策,他们给了Github整整90天的时间来修复这个漏洞。Github随后在10月弃用了易受攻击的指令,并向用户发送了安全警报,提醒他们尽快更新工作流程。10月中旬,零号计划给了Github额外14天的宽限期。就在这个截止日期到期之前,Github向零号计划申请将截止日期延长48小时,以通知更多用户并决定何时可以修复漏洞。CV-2020-15228是一种代码注入攻击,GithubActions中的各种工作流指令极易受到此类攻击。这些指令存在于ActionRunner中的动作执行和通信通道中。谷歌高级信息安全工程师FelixWilhem在零项目报告中说:“这个特性(工作流指令)最大的问题是它极易受到代码注入攻击。当运行的程序解析STDOUT上的每一行文本时tryingtofindAllGithubactionthatlistuntrustedcontentaspartoftheexecutionarevulnerabletoattackwhenworkflowdirectivesareexecuted.在大多数情况下,此功能可以设置任意环境变量,只要执行另一个工作流,最后,它很有可能会被用于远程代码执行,我花了一些时间查看了Github的仓库,发现只要稍微复杂一点的Githubactions都是有漏洞的。”FelixWilhem还表示,Github修复这个漏洞会更加困难,因为工作流指令的执行从根本上是不安全的。弃用那些部分指令只是一个临时解决方案。要彻底修复它,您需要将工作流指令移动到其他地方,尽管这样做会破坏一些依赖于它的代码。
