谷歌 Project Zero 研究人员在GitHub中发现了一个高危安全漏洞,并在7月21日提交了GitHub,按照谷歌Project Zero 90天的漏洞公开计划公开漏洞的时间为10月18日。
漏洞概述
漏洞位于GitHub的开发者工作流自动化工具Actions 特征中。根据GitHub 文档,在 GitHub Actions 的仓库中自动化、自定义和执行软件开发工作流程,可以发现、创建和共享操作以执行您喜欢的任何作业(包括 CI/CD),并将操作合并到完全自定义的工作流程中。
Github Actions 支持一个名为workflow commands的特征,这是Action runner和执行action的通信信道。Workflow commands 在runner/src/Runner.Worker/ActionCommandManager.cs 中实现,通过分析所有寻找2个命令maker的执行的action的STDOUT来工作。
该特征的一大问题是极易受到注入攻击的威胁。Runner进程在分析寻找workflow command的打印到STDOUT的每行时,每个打印不可信内容的GitHub action都易受到攻击。在大多数情况下,如果能够设置任意的环境变量,当另一个workflow执行时就会引发远程代码执行。
时间轴
10月1日,GitHub 发布公告承认了该漏洞,并分配了CVE编号CVE-2020-15228,但称该漏洞实际上中危漏洞。
10月12日,谷歌 Project Zero 研究人员联系了GitHub,并主动提出将漏洞公开的时间延长14天,并询问是否需要需要更多的时间来禁用有漏洞的命令。
GitHub 接受了将漏洞公开的时间延迟14天,并预计于10月19日之后禁用有漏洞的命令。因此,谷歌 Project Zero将漏洞公开时间定于11月2日。
10月28日,由于GitHub没有修复漏洞,谷歌 Project Zero 再次联系GitHub称距离漏洞公开的时间不足一周,但是未得到GitHub 回应。由于未收到GitHub 官方回应,Project Zero 联系了非官方人员得到回应称该漏洞将被修复,Project Zero可以按照计划的11月2日公开漏洞。
11月1日,GitHub给出官方回应,但称无法在11月2日禁用有漏洞的命令,并请求额外的2天时间来通知用户该漏洞的相关信息,但这2天并不是修复漏洞的时间,也没有给出明确的漏洞修复时间。
因此,11月2日,Project Zero 按照计划公开了该漏洞。
本文翻译自:
https://www.zdnet.com/article/google-to-github-times-up-this-unfixed-high-severity-security-bug-affects-developers/
在过去的十年中,区块链已经超越了炒作的范畴,成为行业一个真正的变革性解决方...
1.不是爱情不肯放过你,不是回忆不肯放过你,不是宿命不肯放过你,而是你自己不...
曾几何时,区块链经济概念的大火导致了市场过热,滋生了一大批以割韭菜为目的的...
个人信息保护法是我国立法对大数据时代个人信息、数据安全等问题所作的积极回应...
概览: 现今的比特币挖矿是什么样的? 2100万的供应量用完了会怎么样? 一个人挖一...
中国人民银行打算启用少量匿名数字人民币交易,以保护合理的匿名需求。 中国人民...
CC攻击是DDoS(分布式拒绝服务)的一种,相比其它的DDoS攻击CC似乎更有技术含量一...
IMF 2019年7月的报告中,商业银行会以三部曲的形式即共存、互补、取代的步骤系统...
根据 ResearchAndMarkets 的研究发现,网络安全市场中的人工智能产值预计将从 20...
在逆向分析中,调试工具可以说是非常重要的。调试器能够跟踪一个进程的运行时状...