GitHub ha risolto una grave vulnerabilità di sicurezza, segnalato dai ricercatori di Google Project Zero circa tre mesi fa. Il difetto ha interessato la funzione Azioni di GitHub, uno strumento di automazione del flusso di lavoro per sviluppatori, ed è stato scoperto da Felix Wilhelm.
Nelle parole del ricercatore, il bug era altamente suscettibile agli attacchi di iniezione, sebbene GitHub abbia sostenuto che era moderato. Google ha pubblicato dettagli sulla vulnerabilità 194 giorni dopo il rapporto iniziale.
Ulteriori informazioni sulla vulnerabilità degli attacchi di iniezione di GitHub
Project Zero in genere rivela informazioni su eventuali difetti in 90 giorni dopo il rapporto originale. È interessante notare che entro novembre 2, GitHub aveva superato il periodo. Poco prima della scadenza del termine per l'informativa estesa, GitHub ha detto che non avrebbe disabilitato lo strumento vulnerabile e ha chiesto un'estensione di 48 orario.
Durante queste ore, GitHub intendeva informare i propri clienti del problema e delineare una data per risolverlo in futuro. A seguito di questi eventi, Google è diventato pubblico con la vulnerabilità, 104 giorni dopo il rapporto iniziale.
La buona notizia è che GitHub ha finalmente risolto il bug la scorsa settimana, seguendo il consiglio di Wilhelm per disabilitare i vecchi comandi del runner dello strumento - set-env e add-path.
Il grosso problema di questa funzione è che è altamente vulnerabile agli attacchi di iniezione. Mentre il processo di scorrimento analizza ogni riga stampata su STDOUT alla ricerca di comandi del flusso di lavoro, ogni azione Github che stampa contenuto non attendibile come parte della sua esecuzione è vulnerabile. Nella maggior parte dei casi, la possibilità di impostare variabili di ambiente arbitrarie determina l'esecuzione di codice in modalità remota non appena viene eseguito un altro flusso di lavoro, disse Wilhelm dentro la sua segnalazione di bug originale.
Poco detto, la possibilità di impostare variabili di ambiente arbitrarie potrebbe portare all'esecuzione di codice remoto. L'attacco potrebbe avvenire una volta eseguito un altro flusso di lavoro, il ricercatore spiegato. Wilhelm ha ora confermato che il bug di GitHub è stato finalmente risolto.
Nel mese di ottobre, GitHub ha aggiunto una funzione di scansione del codice per rilevare le vulnerabilità della sicurezza. La funzione è stata annunciata per la prima volta durante la conferenza GitHub Satellite. Primo disponibile per battere i tester, la funzione è stata ora utilizzata più di 1.4 milioni di volte 12,000 repository. Come risultato delle scansioni, più di 20,000 sono state identificate le vulnerabilità. I difetti di sicurezza rilevati includono l'esecuzione di codice in modalità remota, SQL injection, e problemi di cross-site scripting.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: