设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 都市圈 Github现高危漏洞,不少项目都暴露在潜在危险中 ...
回复 发帖
返回列表 发新帖
开启左侧

[科技] Github现高危漏洞,不少项目都暴露在潜在危险中

[复制链接]
43381 4
小河蚌闯天涯 发表于 2020-11-4 23:31:54 | 只看该作者 打印 上一主题 下一主题
 
Github被发现存在一个高危漏洞,基本上所有拥有复杂Github Actions的项目都容易被攻击。这个CVE代号为CVE-2020-15228的漏洞是由Google旗下著名的Project Zero网络安全团队在7月份时发现的。由于Project Zero之前改变了其对于公布漏洞的政策,因此他们给了Github整整90天的时间去修复这个漏洞。Github其后在10月份时弃用了易受攻击的指令,并且也使用户发出了安全警示提醒他们要尽快更新工作流。而在10月中的时候,Project Zero又给予了Github额外14天的宽限期。就在这个限期届满前,Github向Project Zero申请延长限期48小时来通知更多的用户以及决定甚么时候可以修好这个漏洞。

Github现高危漏洞,不少项目都暴露在潜在危险中 第1张图片


CV-2020-15228是一个代码注入攻击,而Github Actions中的各种工作流指令是极为容易受到这类攻击。这些指令是在执行动作以及Action Runner中的沟通渠道存在的。Google高级信息安全工程师Felix Wilhem在一份Project Zero的报告中表示:

“这个功能(工作流指令)的最大问题在于它极易受到代码注入攻击。当运行程序在解析STDOUT上的每一行文字尝试寻找工作流指令时,所有列出未受信任内容所为执行的一部分的Github动作都很容易被攻击。在大多数情况下,可设置任意环境变量这个特性,只要当另一个工作流在执行后,最终都很有可能会被用作远程执行代码。我花了些时间在Github的存储库中检查,发现只要是有点复杂的Github动作都容易被攻击。”

Felix Wilhem还表示,Github要修复这个漏洞会是比较困难的,因为工作流指令的实现方式从根本上来说是不安全的,弃用那些部分指令只是一个临时的解决方法,要彻底修复就需要把工作流指令移动到其他地方,虽然这样做会破坏掉某些依赖其的代码。


下一篇:客服工作人员 Part-time type
标签:网络安全高危漏洞改变了他们安全
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 

精彩评论4

正序浏览
跳转到指定楼层
沙发
llkk 发表于 2020-11-4 23:32:27 | 只看该作者
 
美国人
回复 支持 反对

使用道具 举报

 
板凳
WOT吧吧务号 发表于 2020-11-4 23:33:15 | 只看该作者
 
后门,哪是什么漏洞,本来就是想获取代码
回复 支持 反对

使用道具 举报

 
地板
勃狐波必班橇搪 发表于 2020-11-4 23:33:54 | 只看该作者
 
转发了
回复 支持 反对

使用道具 举报

 
5#
桔汁 发表于 2020-11-4 23:34:35 | 只看该作者
 
转发了
回复 支持 反对

使用道具 举报

 
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小河蚌闯天涯白金会员

0关注

8粉丝

446帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-6-19 22:19