GitHub ha solucionado una vulnerabilidad de seguridad grave, informado por investigadores de Google Project Zero hace unos tres meses. La falla afectó la función de acciones de GitHub, una herramienta de automatización del flujo de trabajo del desarrollador, y fue descubierto por Felix Wilhelm.
En las propias palabras del investigador, el error era muy susceptible a los ataques de inyección, aunque GitHub argumentó que era moderado. Google publicó detalles sobre la vulnerabilidad. 194 días después del informe inicial.
Más sobre la vulnerabilidad de los ataques de inyección de GitHub
Project Zero normalmente divulga información sobre cualquier defecto en 90 días después del informe original. Cabe destacar que para noviembre 2, GitHub había superado el período. Poco antes de que finalice el plazo de divulgación ampliado, GitHub dijo que no deshabilitaría la herramienta vulnerable y solicitó una extensión de 48 horas.
Durante estas horas, GitHub tenía la intención de informar a sus clientes sobre el problema y delinear una fecha para resolverlo en el futuro.. A raíz de estos acontecimientos, Google hizo pública la vulnerabilidad, 104 días después del informe inicial.
La buena noticia es que GitHub finalmente solucionó el error la semana pasada., siguiendo los consejos de Wilhelm para deshabilitar los antiguos comandos de ejecución de la herramienta: set-env y agregar ruta.
El gran problema con esta función es que es muy vulnerable a los ataques de inyección.. A medida que el proceso del corredor analiza cada línea impresa en STDOUT en busca de comandos de flujo de trabajo, cada acción de Github que imprime contenido que no es de confianza como parte de su ejecución es vulnerable. En la mayoría de los casos, la capacidad de establecer variables de entorno arbitrarias da como resultado la ejecución remota de código tan pronto como se ejecuta otro flujo de trabajo, dijo Wilhelm en su informe de error original.
Poco dicho, la capacidad de establecer variables de entorno arbitrarias podría conducir a la ejecución remota de código. El ataque podría ocurrir una vez que se ejecute otro flujo de trabajo, el investigador explicó. Wilhelm ahora ha confirmado que el error de GitHub finalmente se solucionó.
En octubre, GitHub agregó una función de escaneo de código para detectar vulnerabilidades de seguridad. La función se anunció por primera vez durante la conferencia GitHub Satellite.. Primero disponible para vencer a los probadores, la función ahora se ha utilizado más de 1.4 millones de veces 12,000 repositorios. Como resultado de las exploraciones, más que 20,000 se han identificado vulnerabilidades. Las fallas de seguridad descubiertas incluyen la ejecución remota de código, Inyección SQL, y problemas de secuencias de comandos entre sitios.