Github发现高危漏洞,众多项目暴露风险升高
发布时间:2024-05-18 点击:55
github被发现存在一个高危漏洞,基本上所有拥有复杂githubactions的项目都容易被攻击。这个cve代号为cve-2020-15228的漏洞是由google旗下著名的projectzero网络安全团队在7月份时发现的。由于projectzero之前改变了其对于公布漏洞的政策,因此他们给了github整整90天的时间去修复这个漏洞。github其后在10月份时弃用了易受攻击的指令,并且也使用户发出了安全警示提醒他们要尽快更新工作流。而在10月中的时候,projectzero又给予了github额外14天的宽限期。就在这个限期届满前,github向projectzero申请延长限期48小时来通知更多的用户以及决定甚么时候可以修好这个漏洞。
cv-2020-15228是一个代码注入攻击,而githubactions中的各种工作流指令是极为容易受到这类攻击。这些指令是在执行动作以及actionrunner中的沟通渠道存在的。google高级信息安全工程师felixwilhem在一份projectzero的报告中表示:
“这个功能(工作流指令)的最大问题在于它极易受到代码注入攻击。当运行程序在解析stdout上的每一行文字尝试寻找工作流指令时,所有列出未受信任内容所为执行的一部分的github动作都很容易被攻击。在大多数情况下,可设置任意环境变量这个特性,只要当另一个工作流在执行后,最终都很有可能会被用作远程执行代码。我花了些时间在github的存储库中检查,发现只要是有点复杂的github动作都容易被攻击。”
felixwilhem还表示,github要修复这个漏洞会是比较困难的,因为工作流指令的实现方式从根本上来说是不安全的,弃用那些部分指令只是一个临时的解决方法,要彻底修复就需要把工作流指令移动到其他地方,虽然这样做会破坏掉某些依赖其的代码。版权归文章原著所有,本文内容不用于商业目的,如涉及知识产权问题,联系客服立即删除!
网站建设的步骤有哪些?网站建设的步骤及流程有哪些?
新网站增加流量的技巧
突破传统布局,提升免费官网的档次!
自己制作网页,如何避免页面混乱?
个人网站模板怎么选?怎样让网站内容充实?
怎么做网站才能使户体验达到极致呢?
对于SEO网站标题、关键词以及描述应当怎样写?
做SEO职业的女生多吗?有没有男女之分?
cv-2020-15228是一个代码注入攻击,而githubactions中的各种工作流指令是极为容易受到这类攻击。这些指令是在执行动作以及actionrunner中的沟通渠道存在的。google高级信息安全工程师felixwilhem在一份projectzero的报告中表示:
“这个功能(工作流指令)的最大问题在于它极易受到代码注入攻击。当运行程序在解析stdout上的每一行文字尝试寻找工作流指令时,所有列出未受信任内容所为执行的一部分的github动作都很容易被攻击。在大多数情况下,可设置任意环境变量这个特性,只要当另一个工作流在执行后,最终都很有可能会被用作远程执行代码。我花了些时间在github的存储库中检查,发现只要是有点复杂的github动作都容易被攻击。”
felixwilhem还表示,github要修复这个漏洞会是比较困难的,因为工作流指令的实现方式从根本上来说是不安全的,弃用那些部分指令只是一个临时的解决方法,要彻底修复就需要把工作流指令移动到其他地方,虽然这样做会破坏掉某些依赖其的代码。版权归文章原著所有,本文内容不用于商业目的,如涉及知识产权问题,联系客服立即删除!
网站建设的步骤有哪些?网站建设的步骤及流程有哪些?
新网站增加流量的技巧
突破传统布局,提升免费官网的档次!
自己制作网页,如何避免页面混乱?
个人网站模板怎么选?怎样让网站内容充实?
怎么做网站才能使户体验达到极致呢?
对于SEO网站标题、关键词以及描述应当怎样写?
做SEO职业的女生多吗?有没有男女之分?