GoogleProjectZero披露GitHubActions严重安全漏洞。Actions主要负责与ActionRunner的通信。这次的问题是GitHubActions中的工作流命令极易受到注入攻击。正如零项目团队所披露的那样,每个GitHubActions操作都会在执行过程中打印不受信任的内容,因为该过程将每一行解析为STDOUT以寻找工作流命令。在大多数情况下,设置任意环境变量的能力将在执行另一个工作流后立即执行远程代码。换句话说,这个缺陷使其极易受到注入攻击。零号计划团队研究员FelixWilhelm对??此评论道:“工作流命令的实现方式从根本上来说是不安全的。”7月21日,零项目团队在发现漏洞后通知了GitHub。通常,在发现漏洞后,受影响的组织有90天的时间来准备修复。零项目团队还为GitHub提供了90天的宽限期,该宽限期将于10月18日结束。GitHub最终决定弃用这个易受攻击的命令,并针对“中度严重的安全漏洞”发布了补丁建议,通知开发人员更新他们的工作流程。但这只是一个临时的解决方法,因为问题是,正如FelixWilhelm所说,“从根本上”是不安全的,长期的解决方案仍然需要将工作流命令从入站通道移动到它,这会破坏其他相关代码。FelixWilhelm也不确定如何修复这个问题,GitHub也没有完成修复。在90天期限到期之前,即10月16日,GitHub从零项目团队那里获得了额外的14天宽限期。新的截止日期是11月2日,GitHub计划完全禁用相关命令。之后,GitHub尝试再申请48小时的宽限期。但零号计划团队认为延迟并没有解决问题,违反了漏洞披露流程,因此披露了漏洞细节和概念验证代码。本文转自OSCHINA。本文标题:谷歌披露GitHub高危漏洞本文地址:https://www.oschina.net/news/119685/the-github-actions-vulnerability-was-disclosed
