GitHub 終于修復(fù)了谷歌團(tuán)隊(duì)報(bào)告的高危安全漏洞

安全 PRO 作者：婭米 2020-11-24 11:40

原文《GitHub 終于修復(fù)了 Google Project Zero 報(bào)告的高危安全漏洞》

谷歌的Project Zero團(tuán)隊(duì)致力于尋找公司自身軟件以及其他公司開(kāi)發(fā)的軟件中的安全漏洞。其方法是私下向供應(yīng)商報(bào)告缺陷，并在公開(kāi)披露前給他們90天的時(shí)間來(lái)修復(fù)。根據(jù)情況的嚴(yán)重程度，這一期限可能會(huì)根據(jù)該集團(tuán)的標(biāo)準(zhǔn)準(zhǔn)則被延長(zhǎng)或拉近。

11月初，谷歌公開(kāi)披露了GitHub中的一個(gè) “高”嚴(yán)重性安全問(wèn)題，此前后者無(wú)法在104天內(nèi)修復(fù)–超過(guò)了標(biāo)準(zhǔn)時(shí)限。不過(guò)，GitHub用戶(hù)現(xiàn)在會(huì)很高興地知道，這個(gè)安全漏洞終于被填補(bǔ)了。

該安全漏洞源自GitHub Actions中的工作流命令，它作為執(zhí)行動(dòng)作和Action Runner之間的通信渠道極易受到注入攻擊。谷歌Project Zero的Felix Wilhelm最初報(bào)告了這個(gè)安全漏洞，他表示工作流命令的實(shí)現(xiàn)方式 “從根本上來(lái)說(shuō)是不安全的”。短期的解決方案是廢止命令語(yǔ)法，而長(zhǎng)期的修復(fù)方法是將工作流命令轉(zhuǎn)移到一些外鏈通道，但這也很棘手，因?yàn)檫@會(huì)破壞依賴(lài)性代碼。在GitHub未能在規(guī)定的104天內(nèi)修復(fù)該問(wèn)題后，谷歌于11月2日公開(kāi)披露了該問(wèn)題。

顯然，這給該公司帶來(lái)了一定的壓力，目前該漏洞已經(jīng)被修復(fù)。補(bǔ)丁說(shuō)明顯示，該修復(fù)方法與Wilhelm提出的短期解決方案一致。

停用add-path和set-env runner命令(#779)

更新了dotnet安裝腳本(#779)

幾天前，GitHub已經(jīng)修復(fù)了這個(gè)問(wèn)題，但現(xiàn)在已經(jīng)被谷歌Project Zero團(tuán)隊(duì)驗(yàn)證，并在問(wèn)題庫(kù)中標(biāo)記。這樣一來(lái)，安全團(tuán)隊(duì)報(bào)告的公開(kāi)問(wèn)題清單就減少到了9個(gè)。其中包括微軟、高通和蘋(píng)果等眾多廠商開(kāi)發(fā)的軟件。唯一存在于谷歌自家軟件中的開(kāi)放問(wèn)題與Android上的指針泄露有關(guān)，但這一 “中等”嚴(yán)重性缺陷的狀態(tài)自2016年9月以來(lái)一直處于開(kāi)放狀態(tài)。

（消息及封面來(lái)源：cnBeta）

0XU.CN