Zuhause > Cyber ​​Aktuelles > Eine schwerwiegende Sicherheitsanfälligkeit in GitHub kann zu Injektionsangriffen führen
CYBER NEWS

Eine schwerwiegende Sicherheitsanfälligkeit in GitHub kann zu Injektionsangriffen führen

schwere Github-Verwundbarkeit GitHub hat eine schwerwiegende Sicherheitslücke behoben, Von Forschern von Google Project Zero vor etwa drei Monaten gemeldet. Der Fehler betraf die Aktionsfunktion von GitHub, ein Tool zur Automatisierung von Entwickler-Workflows, und wurde von Felix Wilhelm entdeckt.

In den Worten des Forschers, Der Fehler war sehr anfällig für Injektionsangriffe, obwohl GitHub argumentierte, es sei moderat. Google hat Details zur Sicherheitsanfälligkeit veröffentlicht 194 Tage nach dem ersten Bericht.

Weitere Informationen zur Sicherheitsanfälligkeit bei GitHub-Injektionsangriffen

Project Zero offenbart normalerweise Informationen zu Fehlern in 90 Tage nach dem ursprünglichen Bericht. Es ist bemerkenswert, dass bis November 2, GitHub hatte den Zeitraum überschritten. Kurz vor Ablauf der verlängerten Offenlegungsfrist, GitHub sagte, es würde das anfällige Tool nicht deaktivieren und bat um eine Erweiterung von 48 Stunden.

Während dieser Stunden, GitHub beabsichtigte, seine Kunden über das Problem zu informieren und einen Termin für die zukünftige Lösung festzulegen. Im Anschluss an diese Ereignisse, Google ging mit der Sicherheitsanfälligkeit an die Öffentlichkeit, 104 Tage nach dem ersten Bericht.

Die gute Nachricht ist, dass GitHub den Fehler letzte Woche endlich behoben hat, Befolgen Sie die Empfehlungen von Wilhelm zum Deaktivieren der alten Runner-Befehle des Tools. set-env und Pfad hinzufügen.

Das große Problem bei dieser Funktion ist, dass sie sehr anfällig für Injektionsangriffe ist. Während der Runner-Prozess jede an STDOUT gedruckte Zeile analysiert und nach Workflow-Befehlen sucht, Jede Github-Aktion, die im Rahmen ihrer Ausführung nicht vertrauenswürdige Inhalte druckt, ist anfällig. Meistens, Die Möglichkeit, beliebige Umgebungsvariablen festzulegen, führt zur Ausführung von Remotecode, sobald ein anderer Workflow ausgeführt wird, sagte Wilhelm herein sein ursprünglicher Fehlerbericht.

Kurz gesagt, Die Möglichkeit, beliebige Umgebungsvariablen festzulegen, kann zur Ausführung von Remotecode führen. Der Angriff kann auftreten, sobald ein anderer Workflow ausgeführt wird, Der Forscher erklärt. Wilhelm hat nun bestätigt, dass der GitHub-Fehler endlich behoben ist.


Im Oktober, GitHub hat eine Code-Scan-Funktion hinzugefügt Sicherheitslücken zu erkennen. Das Feature wurde erstmals während der GitHub Satellite-Konferenz angekündigt. Zuerst verfügbar, um Tester zu schlagen, Die Funktion wurde jetzt mehr als verwendet 1.4 Millionen Mal vorbei 12,000 Repositorys. Als Ergebnis der Scans, mehr als 20,000 Schwachstellen wurden identifiziert. Zu den entdeckten Sicherheitslücken gehört die Remotecodeausführung, SQL-Injection, und Cross-Site-Scripting-Probleme.

Milena Dimitrova

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...