GitHub hat eine schwerwiegende Sicherheitslücke behoben, Von Forschern von Google Project Zero vor etwa drei Monaten gemeldet. Der Fehler betraf die Aktionsfunktion von GitHub, ein Tool zur Automatisierung von Entwickler-Workflows, und wurde von Felix Wilhelm entdeckt.
In den Worten des Forschers, Der Fehler war sehr anfällig für Injektionsangriffe, obwohl GitHub argumentierte, es sei moderat. Google hat Details zur Sicherheitsanfälligkeit veröffentlicht 194 Tage nach dem ersten Bericht.
Weitere Informationen zur Sicherheitsanfälligkeit bei GitHub-Injektionsangriffen
Project Zero offenbart normalerweise Informationen zu Fehlern in 90 Tage nach dem ursprünglichen Bericht. Es ist bemerkenswert, dass bis November 2, GitHub hatte den Zeitraum überschritten. Kurz vor Ablauf der verlängerten Offenlegungsfrist, GitHub sagte, es würde das anfällige Tool nicht deaktivieren und bat um eine Erweiterung von 48 Stunden.
Während dieser Stunden, GitHub beabsichtigte, seine Kunden über das Problem zu informieren und einen Termin für die zukünftige Lösung festzulegen. Im Anschluss an diese Ereignisse, Google ging mit der Sicherheitsanfälligkeit an die Öffentlichkeit, 104 Tage nach dem ersten Bericht.
Die gute Nachricht ist, dass GitHub den Fehler letzte Woche endlich behoben hat, Befolgen Sie die Empfehlungen von Wilhelm zum Deaktivieren der alten Runner-Befehle des Tools. set-env und Pfad hinzufügen.
Das große Problem bei dieser Funktion ist, dass sie sehr anfällig für Injektionsangriffe ist. Während der Runner-Prozess jede an STDOUT gedruckte Zeile analysiert und nach Workflow-Befehlen sucht, Jede Github-Aktion, die im Rahmen ihrer Ausführung nicht vertrauenswürdige Inhalte druckt, ist anfällig. Meistens, Die Möglichkeit, beliebige Umgebungsvariablen festzulegen, führt zur Ausführung von Remotecode, sobald ein anderer Workflow ausgeführt wird, sagte Wilhelm herein sein ursprünglicher Fehlerbericht.
Kurz gesagt, Die Möglichkeit, beliebige Umgebungsvariablen festzulegen, kann zur Ausführung von Remotecode führen. Der Angriff kann auftreten, sobald ein anderer Workflow ausgeführt wird, Der Forscher erklärt. Wilhelm hat nun bestätigt, dass der GitHub-Fehler endlich behoben ist.
Im Oktober, GitHub hat eine Code-Scan-Funktion hinzugefügt Sicherheitslücken zu erkennen. Das Feature wurde erstmals während der GitHub Satellite-Konferenz angekündigt. Zuerst verfügbar, um Tester zu schlagen, Die Funktion wurde jetzt mehr als verwendet 1.4 Millionen Mal vorbei 12,000 Repositorys. Als Ergebnis der Scans, mehr als 20,000 Schwachstellen wurden identifiziert. Zu den entdeckten Sicherheitslücken gehört die Remotecodeausführung, SQL-Injection, und Cross-Site-Scripting-Probleme.