谷歌 Project Zero 披露了 GitHub Actions 中存在的嚴重安全漏洞。

Actions 主要負責(zé)與“動作執(zhí)行器”(Action Runner)之間的通信工作。 這次問題在于，GitHub Actions 中的工作流命令極易受到注入攻擊。

根據(jù) Project Zero 團隊的披露，當(dāng)進程解析至 STDOUT 的每一行，以尋找工作流命令時，每個 GitHub Actions 操作都會在執(zhí)行過程中打印出不受信任的內(nèi)容。在大多數(shù)情況下，設(shè)置任意環(huán)境變量的功能，會在執(zhí)行另一個工作流程后立即執(zhí)行遠程代碼。換言之，這一缺陷使之極易受到注入攻擊。

Project Zero 團隊研究員 Felix Wilhelm 對此評價稱：“實現(xiàn)工作流命令的方式從根本上來說是不安全的。”

7 月 21 日，Project Zero 團隊發(fā)現(xiàn)這個漏洞之后通報給 GitHub。通常來說， 漏洞被發(fā)現(xiàn)之后，受影響的機構(gòu)將有 90 天的籌備修復(fù)時間。Project Zero 團隊也給 GitHub 提供了 90 天寬限期，截至 10 月 18 日。

GitHub 最終決定棄用易受攻擊的命令，并發(fā)出“中等嚴重的安全漏洞”的修補建議，通知開發(fā)者更新其工作流程。 但這只是臨時性應(yīng)對措施，由于問題如 Felix Wilhelm 所說，是“根本性的”不安全問題，長期解決仍需將工作流命令從界內(nèi)通道移往它處，而這么做又會破壞其它相關(guān)代碼。Felix Wilhelm 也無法確定該如何解決這個問題 ，GitHub 并沒有完成修復(fù)。

90 天期限到期前，10 月 16 日，GitHub 得到了 Project Zero 團隊提供的額外 14 天寬限期，新截止日期為 11 月 2 日，GitHub 計劃完全禁用相關(guān)命令。之后，GitHub 試圖再申請 48 小時的寬限期。但 Project Zero 團隊認為延期并不能解決問題，且有違漏洞披露過程，于是披露了漏洞詳情和概念驗證代碼。

本文轉(zhuǎn)自O(shè)SCHINA。

本文標(biāo)題：谷歌披露 GitHub 高危漏洞

本文地址：https://www.oschina.net/news/119685/the-github-actions-vulnerability-was-disclosed