GitHub heeft een ernstig beveiligingsprobleem opgelost, gerapporteerd door Google Project Zero-onderzoekers ongeveer drie maanden geleden. De fout had invloed op de Actions-functie van GitHub, een automatiseringstool voor ontwikkelaars, en werd ontdekt door Felix Wilhelm.
In de eigen woorden van de onderzoeker, de bug was zeer vatbaar voor injectie-aanvallen, hoewel GitHub beweerde dat het matig was. Google publiceerde details over de kwetsbaarheid 194 dagen na het eerste rapport.
Meer informatie over de kwetsbaarheid van de GitHub met injectieaanvallen
Project Zero geeft doorgaans informatie over eventuele gebreken in 90 dagen na het oorspronkelijke rapport. Het is opmerkelijk dat in november 2, GitHub had de periode overschreden. Kort voor het einde van de verlengde bekendmakingstermijn, GitHub zei dat het de kwetsbare tool niet zou uitschakelen en vroeg om een extensie van 48 uur.
Tijdens deze uren, GitHub was bedoeld om zijn klanten over het probleem te informeren en een datum te schetsen om het in de toekomst op te lossen. Naar aanleiding van deze gebeurtenissen, Google heeft de kwetsbaarheid openbaar gemaakt, 104 dagen na het eerste rapport.
Het goede nieuws is dat GitHub de bug vorige week eindelijk heeft opgelost, het advies van Wilhelm volgen voor het uitschakelen van de oude runner-opdrachten van de tool - set-env en add-path.
Het grote probleem met deze functie is dat deze zeer kwetsbaar is voor injectie-aanvallen. Terwijl het runner-proces elke afgedrukte regel parseert naar STDOUT, op zoek naar workflow-opdrachten, elke Github-actie die niet-vertrouwde inhoud afdrukt als onderdeel van de uitvoering ervan, is kwetsbaar. Meestal, de mogelijkheid om willekeurige omgevingsvariabelen in te stellen, resulteert in uitvoering van externe code zodra een andere workflow wordt uitgevoerd, zei Wilhelm binnen zijn oorspronkelijke bugrapport.
Kort gezegd, de mogelijkheid om willekeurige omgevingsvariabelen in te stellen kan leiden tot het uitvoeren van externe code. De aanval kan plaatsvinden zodra een andere workflow wordt uitgevoerd, de onderzoeker uitgelegd. Wilhelm heeft nu bevestigd dat de bug van GitHub eindelijk is opgelost.
In oktober, GitHub heeft een functie voor het scannen van codes toegevoegd om beveiligingsproblemen te detecteren. De functie werd voor het eerst aangekondigd tijdens de GitHub Satellite-conferentie. Eerst beschikbaar om testers te verslaan, de functie is nu meer dan gebruikt 1.4 miljoen keer voorbij 12,000 repositories. Als resultaat van de scans, meer dan 20,000 kwetsbaarheden zijn geïdentificeerd. Gevonden beveiligingsfouten zijn onder meer het uitvoeren van externe code, SQL-injectie, en cross-site scripting problemen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: