行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Google公开了GitHub Actions漏洞的详细信息
2020-11-05 16:35:25 【

在104天的披露截止日期之后,谷歌本周公开了影响GitHub Actions的漏洞的详细信息。

该漏洞由Google Project Zero的安全研究员Felix Wilhelm识别,该漏洞于7月21日报告给GitHub。根据Google的政策,有关该漏洞的信息应在90天后发布,但是GitHub要求宽限期为14天。

漏洞跟踪为CVE-2020-15228,与设置为禁用set-envadd-path工作流命令的使用有关GitHub已为该问题指定了中等严重性等级,但Google Project Zero表示此问题的严重性为

Github操作运行程序支持的set-env命令使用户可以定义任意环境变量,安全研究人员发现该功能高度容易受到注入攻击。

“当运行程序进程解析打印到STDOUT的每一行以寻找工作流命令时,每个Github操作都会在执行过程中打印出不受信任的内容,因此很容易受到攻击。在大多数情况下,设置任意环境变量的功能可在执行另一个工作流程后立即执行远程代码。” Wilhelm指出。

GitHub确认的问题是,可以将路径和环境变量注入到将不受信任的数据记录到stdout的工作流中,而这全都不是工作流作者的意图。

在10月1日的帖子中,Microsoft拥有的平台透露了@ actions / core npm模块应该更新到版本1.2.6,该版本更新了addPathexportVariable函数。

GitHub引入了一组新文件,用于管理工作流中的环境和路径更新,以确保用户可以继续动态设置环境变量。

“跑步者将发布一个更新,该更新将在不久的将来禁用set-env和add-path工作流命令。现在,用户应该升级到@行为/核心1.2.6或更高版本,并更换一套-ENV的任何实例或在他们的工作流程与新的环境文件语法添加路径命令,” GitHub的解释

GitHub说,Runner 2.273.5版本已经在警告使用添加路径set-env命令,并且计划完全禁用它们。建议用户尽快升级,因为尚未找到解决方法。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇高防服务器如何防御CC攻击,真的.. 下一篇游戏已成DDOS攻击最严重领域 黑产..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800