Github现高危漏洞,不少项目都暴露在潜在危险中

安全
Github被发现存在一个高危漏洞,基本上所有拥有复杂Github Actions的项目都容易被攻击。这个CVE代号为CVE-2020-15228的漏洞是由Google旗下著名的Project Zero网络安全团队在7月份时发现的。

 Github被发现存在一个高危漏洞,基本上所有拥有复杂Github Actions的项目都容易被攻击。这个CVE代号为CVE-2020-15228的漏洞是由Google旗下著名的Project Zero网络安全团队在7月份时发现的。由于Project Zero之前改变了其对于公布漏洞的政策,因此他们给了Github整整90天的时间去修复这个漏洞。Github其后在10月份时弃用了易受攻击的指令,并且也使用户发出了安全警示提醒他们要尽快更新工作流。而在10月中的时候,Project Zero又给予了Github额外14天的宽限期。就在这个限期届满前,Github向Project Zero申请延长限期48小时来通知更多的用户以及决定甚么时候可以修好这个漏洞。

 

Github现高危漏洞,不少项目都暴露在潜在危险中

 

CV-2020-15228是一个代码注入攻击,而Github Actions中的各种工作流指令是极为容易受到这类攻击。这些指令是在执行动作以及Action Runner中的沟通渠道存在的。Google高级信息安全工程师Felix Wilhem在一份Project Zero的报告中表示:

“这个功能(工作流指令)的最大问题在于它极易受到代码注入攻击。当运行程序在解析STDOUT上的每一行文字尝试寻找工作流指令时,所有列出未受信任内容所为执行的一部分的Github动作都很容易被攻击。在大多数情况下,可设置任意环境变量这个特性,只要当另一个工作流在执行后,最终都很有可能会被用作远程执行代码。我花了些时间在Github的存储库中检查,发现只要是有点复杂的Github动作都容易被攻击。”

Felix Wilhem还表示,Github要修复这个漏洞会是比较困难的,因为工作流指令的实现方式从根本上来说是不安全的,弃用那些部分指令只是一个临时的解决方法,要彻底修复就需要把工作流指令移动到其他地方,虽然这样做会破坏掉某些依赖其的代码。

责任编辑:华轩 来源: 今日头条
相关推荐

2024-11-04 15:25:15

2020-04-27 08:20:38

Redis云端安全

2019-08-22 09:00:00

Kubernetes漏洞DoS

2022-05-25 14:07:35

KubernetesAPI服务器

2011-05-20 10:24:18

2020-11-04 14:55:06

谷歌GitHub漏洞

2019-10-25 17:18:44

网络安全网络安全技术周刊

2010-03-02 14:55:18

2022-06-02 09:18:08

IPv4 地址MySQL 服务器安全

2023-10-04 18:16:06

2013-07-18 13:11:07

2024-09-26 12:58:11

2022-06-02 11:20:14

黑客网络攻击勒索软件

2015-02-05 15:58:06

2021-07-18 07:38:59

2010-11-29 14:05:29

2014-11-18 10:02:28

2014-09-26 10:15:45

2019-01-28 16:09:00

2022-12-12 16:04:00

点赞
收藏

51CTO技术栈公众号