谷歌 Project Zero 研究人員在GitHub中發(fā)現(xiàn)了一個(gè)高危安全漏洞，并在7月21日提交了GitHub，按照谷歌Project Zero 90天的漏洞公開計(jì)劃公開漏洞的時(shí)間為10月18日。

[[350918]]

漏洞概述

漏洞位于GitHub的開發(fā)者工作流自動(dòng)化工具Actions 特征中。根據(jù)GitHub 文檔，在 GitHub Actions 的倉(cāng)庫(kù)中自動(dòng)化、自定義和執(zhí)行軟件開發(fā)工作流程，可以發(fā)現(xiàn)、創(chuàng)建和共享操作以執(zhí)行您喜歡的任何作業(yè)(包括 CI/CD)，并將操作合并到完全自定義的工作流程中。

Github Actions 支持一個(gè)名為workflow commands的特征，這是Action runner和執(zhí)行action的通信信道。Workflow commands 在runner/src/Runner.Worker/ActionCommandManager.cs 中實(shí)現(xiàn)，通過分析所有尋找2個(gè)命令maker的執(zhí)行的action的STDOUT來工作。

該特征的一大問題是極易受到注入攻擊的威脅。Runner進(jìn)程在分析尋找workflow command的打印到STDOUT的每行時(shí)，每個(gè)打印不可信內(nèi)容的GitHub action都易受到攻擊。在大多數(shù)情況下，如果能夠設(shè)置任意的環(huán)境變量，當(dāng)另一個(gè)workflow執(zhí)行時(shí)就會(huì)引發(fā)遠(yuǎn)程代碼執(zhí)行。

時(shí)間軸

10月1日，GitHub 發(fā)布公告承認(rèn)了該漏洞，并分配了CVE編號(hào)CVE-2020-15228，但稱該漏洞實(shí)際上中危漏洞。

10月12日，谷歌 Project Zero 研究人員聯(lián)系了GitHub，并主動(dòng)提出將漏洞公開的時(shí)間延長(zhǎng)14天，并詢問是否需要需要更多的時(shí)間來禁用有漏洞的命令。

GitHub 接受了將漏洞公開的時(shí)間延遲14天，并預(yù)計(jì)于10月19日之后禁用有漏洞的命令。因此，谷歌 Project Zero將漏洞公開時(shí)間定于11月2日。

10月28日，由于GitHub沒有修復(fù)漏洞，谷歌 Project Zero 再次聯(lián)系GitHub稱距離漏洞公開的時(shí)間不足一周，但是未得到GitHub 回應(yīng)。由于未收到GitHub 官方回應(yīng)，Project Zero 聯(lián)系了非官方人員得到回應(yīng)稱該漏洞將被修復(fù)，Project Zero可以按照計(jì)劃的11月2日公開漏洞。

11月1日，GitHub給出官方回應(yīng)，但稱無法在11月2日禁用有漏洞的命令，并請(qǐng)求額外的2天時(shí)間來通知用戶該漏洞的相關(guān)信息，但這2天并不是修復(fù)漏洞的時(shí)間，也沒有給出明確的漏洞修復(fù)時(shí)間。

因此，11月2日，Project Zero 按照計(jì)劃公開了該漏洞。

本文翻譯自：

https://www.zdnet.com/article/google-to-github-times-up-this-unfixed-high-severity-security-bug-affects-developers/