0
0
Duas semanas depois que o Google divulgou uma falha de segurança no GitHub, o site da Microsoft corrigiu o problema.
O GitHub finalmente corrigiu uma falha de segurança de alta gravidade relatada pelo Google Project Zero há mais de três meses.
O bug afetou o recurso Ações do GitHub – uma ferramenta de automação de fluxo de trabalho do desenvolvedor – que o pesquisador do Google Project Zero Felix Wilhelm disse ser “altamente vulnerável a ataques de injeção”. As Ações do GitHub suportam um recurso chamado comandos de fluxo de trabalho como um canal de comunicação entre o corredor de Ação e a ação executada.
Embora o Google o descreveu como um bug de “alta gravidade”, o GitHub argumentou que era uma “vulnerabilidade de segurança moderada”.
O Google Project Zero geralmente divulga quaisquer falhas que encontra 90 dias após denunciá-las, e até 2 de novembro, o GitHub havia excedido o período de carência único do Google de 14 dias sem ter corrigido a falha.
Um dia antes do prazo estendido de divulgação, o GitHub disse ao Google que não estaria desativando os comandos vulneráveis até 2 de novembro e, em seguida, solicitou mais 48 horas – não para corrigir o problema, mas para notificar os clientes e determinar uma “data difícil” em algum momento no futuro. O Google então publicou detalhes do bug 104 dias depois que ele relatou o problema ao GitHub.
O GitHub finalmente conseguiu resolver o problema na semana passada, desativando os comandos antigos do corredor do recurso, “set-env” e “add-path”,de acordo com a sugestão de Wilhelm.
A correção foi implementada em 16 de novembro, ou duas semanas depois que Wilhelm divulgou publicamente o problema.
Como Wilhelm observou em seu relatório de bugs, a versão anterior do comando de corredor de ação do Github “set-env” foi interessante do ponto de vista de segurança porque pode ser usada para definir variáveis de ambiente arbitrário como parte de uma etapa de fluxo de trabalho.
“O grande problema com esse recurso é que ele é altamente vulnerável a ataques de injeção. À medida que o processo de corredor analisa todas as linhas impressas no STDOUT em busca de comandos de fluxo de trabalho, cada ação do Github que imprime conteúdo não confiável como parte de sua execução é vulnerável”, escreveu Wilhelm.
“Na maioria dos casos, a capacidade de definir variáveis de ambiente arbitrário resulta na execução remota de código assim que outro fluxo de trabalho é executado.”
Agora que o GitHub desativou os dois comandos vulneráveis, Wilhelm também atualizou seu relatório de problemas para confirmar que o problema está corrigido.
FONTE: ZDNET