GitHubは重大なセキュリティの脆弱性を修正しました, 約3か月前にGoogleProjectZeroの研究者によって報告されました. この欠陥はGitHubのアクション機能に影響しました, 開発者ワークフロー自動化ツール, フェリックス・ウィルヘルムによって発見されました.
研究者自身の言葉で, バグはインジェクション攻撃の影響を非常に受けやすい, GitHubは中程度だと主張しましたが. Googleは脆弱性に関する詳細を公開しました 194 最初の報告から数日後.
GitHubのインジェクションアタックの脆弱性に関する詳細
Project Zeroは通常、の欠陥に関する情報を開示します 90 元のレポートから数日後. 11月までに注目に値する 2, GitHubが期間を超えていた. 延長された開示期限の終了直前, GitHubは、脆弱なツールを無効にしないと述べ、 48 時間.
これらの時間の間に, GitHubは、この問題について顧客に通知し、将来的に解決する日付の概要を説明することを目的としています。. これらのイベントに続いて, グーグルは脆弱性で公開されました, 104 最初の報告から数日後.
良いニュースは、GitHubが先週ようやくバグを修正したことです, ツールの古いランナーコマンドを無効にするためのWilhelmのアドバイスに従う– set-env と 追加パス.
この機能の大きな問題は、インジェクション攻撃に対して非常に脆弱であるということです。. ランナープロセスがSTDOUTに出力されたすべての行を解析して、ワークフローコマンドを探します, 実行の一部として信頼できないコンテンツを出力するすべてのGithubアクションは脆弱です. ほとんどの場合, 任意の環境変数を設定する機能により、別のワークフローが実行されるとすぐにリモートでコードが実行されます, ウィルヘルムは 彼の元のバグレポート.
すぐに言った, 任意の環境変数を設定する機能は、リモートでコードが実行される可能性があります. 別のワークフローが実行されると、攻撃が発生する可能性があります, 研究者は説明した. Wilhelmは、GitHubのバグが最終的に修正されたことを確認しました.
10月中, GitHubはコードスキャン機能を追加しました セキュリティの脆弱性を検出する. この機能は、GitHub衛星会議で最初に発表されました. テスターを倒すために最初に利用可能, この機能は現在、 1.4 百万回以上 12,000 リポジトリ. スキャンの結果として, より多い 20,000 脆弱性が特定されました. 発見されたセキュリティ上の欠陥には、リモートでコードが実行されることが含まれます, SQLインジェクション, およびクロスサイトスクリプティングの問題.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: