Команда Google Project Zero известна тем, что обнаруживает уязвимости и ошибки в собственном программном обеспечении Google, а также в программах, разработанных другими компаниями. Ее методология включает в себя выявление недостатков в безопасности программного обеспечения и частную отчетность о них перед поставщиками, что дает им 90 дней на их исправление до публичного разглашения. В зависимости от сложности требуемого исправления, иногда она также предлагает дополнительные дни в виде льготного периода. В определенных сценариях компаниям может быть даже предоставлено меньше стандартных 90 дней на устранение проблем до публичного объявления об этом компанией Google.
За последние пару лет команда выявила основные уязвимости в Windows, Windows 10 S, ядре MacOS и iOS, среди прочих. Пару дней назад команда безопасности раскрыла эксплойт нулевого дня, присутствующий в различных версиях Windows, а сегодня она обнаружила изъян безопасности в GitHub.
Уязвимость была классифицирована Google Project Zero как "высокая" серьезность. Мы избавим вас от мелких технических деталей - и вы можете просматривать их здесь подробно, если хотите, - но суть проблемы заключается в том, что команды рабочего процесса в GitHub Actions крайне уязвимы для инъекционных атак. Для тех, кто не знает об этом, команды рабочего процесса действуют как канал связи между выполненными действиями и Action Runner.
Феликс Вильгельм (Felix Wilhelm), обнаруживший изъян в безопасности через просмотр исходного кода, говорит об этом:
Большая проблема этой функции в том, что она очень уязвима для инъекционных атак. В качестве
runner-процесс анализирует каждую строку, напечатанную в STDOUT, в поисках команд рабочего процесса, каждое действие Github, которое печатает недоверенный контент во время его выполнения, является уязвимым. В большинстве случаев, возможность установки произвольных переменных окружения приводит к удаленному выполнению кода, как только выполняется другой рабочий процесс.
- Я потратил некоторое время на просмотр популярных репозиториев Github, и практически любой проект со сложными действиями Github уязвим для этого класса ошибок.
В своей оригинальной заметке Вильгельм продолжил, что он не уверен, как исправить проблему, так как способ реализации команд рабочего процесса "в корне небезопасен". Краткосрочным решением проблемы могло бы стать искажение синтаксиса команд, в то время как долгосрочное исправление заключалось бы в перемещении команд рабочего процесса на какой-нибудь внешний канал, но это также сломало бы другие части зависимого кода.
После обнаружения недостатка в безопасности 21 июля команда Project Zero, естественно, обратилась к GitHub с информацией об уязвимости, предоставив им стандартные 90 дней на его устранение, срок действия которых истекал бы 18 октября. В начале октября GitHub принял решение об устранении уязвимости и разослал консультацию об "умеренной уязвимости в безопасности", попросив пользователей обновить свои рабочие процессы. 16 октября GitHub принял 14-дневный льготный период от Google, чтобы полностью отключить команды, что сделало 2 ноября новым дедлайн-сроком.
С 28 октября на GitHub официально было радиомолчание. 1 ноября GitHub попросил команду Project Zero выделить дополнительные 48 часов. Однако этот дополнительный период отсрочки был предназначен не для исправления проблемы, а для дальнейшего уведомления клиентов и определения «окончательной даты» для устранения уязвимости. Поскольку это не соответствует стандартному процессу раскрытия информации в Project Zero, сегодня группа безопасности обнародовала этот недостаток, а также предоставила доступный проверочный код.
Источник: https://www.neowin.net/news/google-discloses-high-severity-security-flaw-in-github
Новости