Home Mobile Google rivela una falla di sicurezza di gravità "elevata" in GitHub

Google rivela una falla di sicurezza di gravità “elevata” in GitHub

- Advertisement -

Il team di Project Zero di Google è noto per la scoperta di vulnerabilità e bug nel software di Google e in quello sviluppato da altre società. La sua metodologia prevede l’identificazione dei difetti di sicurezza nel software e la loro segnalazione privata ai fornitori, dando loro 90 giorni per risolverli prima della divulgazione pubblica. A seconda della complessità della correzione richiesta, a volte offre anche giorni aggiuntivi sotto forma di periodo di grazia. In scenari specifici, alle aziende possono essere concessi anche meno dei 90 giorni standard per risolvere i problemi prima che Google li annunci pubblicamente.

Nel corso degli ultimi due anni, il team ha rivelato importanti vulnerabilità in Windows , Windows 10 S , MacOs kernel , e iOS , tra gli altri . Un paio di giorni fa, il team di sicurezza ha rivelato un exploit zero-day presente in varie versioni di Windows e oggi ha rivelato una falla di sicurezza in GitHub .

La vulnerabilità è stata classificata come problema di gravità “elevata” da Google Project Zero. Ti risparmieremo i dettagli tecnici nitidi e sei libero di visualizzarli in dettaglio qui se lo desideri , ma il nocciolo della questione è che i comandi del flusso di lavoro in GitHub Actions sono estremamente vulnerabili agli attacchi di iniezione. Per chi non lo sapesse , i comandi del flusso di lavoro fungono da canale di comunicazione tra le azioni eseguite e Action Runner.

Felix Wilhelm, che ha scoperto la falla di sicurezza tramite la revisione del codice sorgente, afferma che:

Il grosso problema di questa funzione è che è altamente vulnerabile agli attacchi di iniezione. Poiché il
processo del runner analizza ogni riga stampata su STDOUT alla ricerca di comandi del flusso di lavoro, ogni azione Github che stampa contenuto non attendibile come parte della sua esecuzione è vulnerabile. Nella maggior parte dei casi, la possibilità di impostare variabili di ambiente arbitrarie comporta l’esecuzione di codice in modalità remota non appena viene eseguito un altro flusso di lavoro.

Ho passato un po ‘di tempo a guardare i più diffusi repository Github e quasi tutti i progetti con azioni Github piuttosto complesse sono vulnerabili a questa classe di bug.

Nel suo post originale, Wilhelm ha continuato affermando di non essere sicuro di come risolvere il problema poiché il modo in cui vengono implementati i comandi del flusso di lavoro è “fondamentalmente insicuro”. Una soluzione a breve termine sarebbe deprecare la sintassi del comando, mentre una correzione a lungo termine comporterebbe lo spostamento dei comandi del flusso di lavoro su un canale fuori limite, ma ciò interromperebbe anche altri pezzi di codice dipendente.

Dopo la scoperta della falla di sicurezza il 21 luglio, il team di Project Zero ha naturalmente contattato GitHub con informazioni sulla vulnerabilità, dando loro i 90 giorni standard per risolverla, che scadrà il 18 ottobre. All’inizio di ottobre, GitHub ha deciso di deprecare i comandi vulnerabili e ha inviato un avviso su una “vulnerabilità di sicurezza moderata”, chiedendo agli utenti di aggiornare i propri flussi di lavoro . Il 16 ottobre, GitHub ha accettato il periodo di grazia di 14 giorni di Google per disabilitare completamente i comandi, rendendo il 2 novembre la nuova scadenza.

Dal 28 ottobre c’è stato ufficialmente silenzio radio da GitHub. Il 1 ° novembre, GitHub ha richiesto al team di Project Zero di assegnare ulteriori 48 ore. Tuttavia, questo periodo di grazia aggiuntivo non serviva per correggere il problema, ma per informare ulteriormente i clienti e per determinare una “data difficile” per correggere la vulnerabilità. Poiché questo non è in linea con il processo di divulgazione standard di Project Zero, il difetto è stato reso pubblico dal team di sicurezza oggi con un codice proof-of-concept reso disponibile anche.

Daniel Akahttps://plus.google.com/106923473571641893009
Amante della tecnologia e amministrazione e creatore del sito. Con la passione della tecnologia e deciso nell'informare ogni genere di persona.
3,109FansLike
26FollowersFollow

Altre news