GitHub har rettet en alvorlig sikkerhedssårbarhed, rapporteret af Google Project Zero forskere for omkring tre måneder siden. Fejlen påvirkede GitHubs handlinger, et værktøj til automatisering af udviklingsworkflow, og blev opdaget af Felix Wilhelm.
Med forskerens egne ord, bug var meget modtagelig for injektionsangreb, skønt GitHub hævdede, at det var moderat. Google offentliggjorde detaljer om sårbarheden 194 dage efter den oprindelige rapport.
Mere om GitHubs sårbarhed med injektionsangreb
Project Zero afslører typisk oplysninger om eventuelle fejl i 90 dage efter den oprindelige rapport. Det er bemærkelsesværdigt, at inden november 2, GitHub havde overskredet perioden. Kort før udløbet af den udvidede frist for offentliggørelse, GitHub sagde, at det ikke ville deaktivere det sårbare værktøj og bad om en udvidelse af 48 timer.
I løbet af disse timer, GitHub havde til hensigt at informere sine kunder om problemet og skitsere en dato for at løse det i fremtiden. Efter disse begivenheder, Google blev offentliggjort med sårbarheden, 104 dage efter den oprindelige rapport.
Den gode nyhed er, at GitHub endelig fik fejlen i sidste uge, efter Wilhelms råd til deaktivering af værktøjets gamle løberkommandoer - sæt-env og tilføjelsessti.
Det store problem med denne funktion er, at den er meget sårbar over for injektionsangreb. Efterhånden som løberprocessen analyseres, bliver hver linje, der udskrives til STDOUT, på udkig efter arbejdsflowkommandoer, hver Github-handling, der udskriver upålideligt indhold som en del af dens udførelse, er sårbar. I de fleste tilfælde, evnen til at indstille vilkårlige miljøvariabler resulterer i fjernudførelse af kode, så snart en anden arbejdsgang udføres, sagde Wilhelm ind hans oprindelige fejlrapport.
Kort sagt, evnen til at indstille vilkårlige miljøvariabler kan føre til fjernkørsel af kode. Angrebet kan ske, når en anden arbejdsgang er udført, forskeren forklarede. Wilhelm har nu bekræftet, at GitHubs bug endelig er rettet.
I oktober, GitHub tilføjede en kodescanningsfunktion for at opdage sikkerhedssårbarheder. Funktionen blev først annonceret under GitHub Satellite-konferencen. Først tilgængelig for at slå testere, funktionen er nu blevet brugt mere end 1.4 millioner gange 12,000 repositories. Som et resultat af scanningerne, mere end 20,000 sårbarheder er blevet identificeret. Opdagede sikkerhedsfejl inkluderer fjernudførelse af kode, SQL injektion, og scripting-problemer på tværs af websteder.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: