GoogleProjectZero研究人员在GitHub中发现了一个高危安全漏洞,并于7月21日提交给GitHub,据GoogleProjectZero称90天漏洞披露计划将于10月18日披露漏洞。漏洞概述该漏洞位于GitHub开发者工作流自动化工具的Actions功能中。根据GitHub文档在GitHubActions存储库中自动化、自定义和执行软件开发工作流,发现、创建和共享操作以执行您喜欢的任何工作(包括CI/CD),并将操作合并到完全自定义的工作流中。GithubActions支持一种称为工作流命令的功能,它是Actionrunner和执行的action之间的通信通道。工作流命令在runner/src/Runner.Worker/ActionCommandManager.cs中实现,并通过分析寻找2个命令生成器执行的所有动作的STDOUT来工作。此功能的一个大问题是它非常容易受到注入攻击。当Runner进程分析打印到STDOUT的每一行以寻找工作流命令时,每个打印不受信任内容的GitHub操作都容易受到攻击。在大多数情况下,能够设置任意环境变量将导致在另一个工作流执行时远程执行代码。时间线10月1日,GitHub发布公告承认该漏洞并分配CVE编号CVE-2020-15228,但表示该漏洞实际为中危漏洞。10月12日,谷歌零项目研究人员联系GitHub,提出将漏洞披露时间延长14天,并询问是否需要更多时间来禁用漏洞命令。GitHub接受了延迟14天公开漏洞,并预计在10月19日之后禁用bugging订单。因此,GoogleProjectZero将漏洞披露日期定在了11月2日。10月28日,因GitHub未修复漏洞,GoogleProjectZero再次联系GitHub,称距漏洞公开不到一周,但未收到GitHub的回复。由于没有收到GitHub的官方回应,ProjectZero联系了非官方人员,得到的回复是漏洞会被修复,ProjectZero可以按计划在11月2日公开漏洞。11月1日,GitHub官方给出了回应,但表示无法在11月2日禁用漏洞命令,并要求额外2天通知用户漏洞,但这2天不是修复漏洞的时间,并且没有给出明确的bug修复时间。因此,11月2日,零号计划如期披露了该漏洞。本文翻译自:https://www.zdnet.com/article/google-to-github-times-up-this-unfixed-high-severity-security-bug-affects-developers/
