بالاخره یک نقص بزرگ امنیتی GitHub پس از گذشت سه ماه از پیدا کردن آن برطرف شد. تیم Project Zero شرکت گوگل در ماه جولای به GitHub اطلاع داد که ویژگی GitHub Actions آن در برابر حملات تزریق (وارد کردن مقادیر غیر امن یا نصب افزونههای نا امن) بسیار آسیب پذیر است. 90 روز به این شرکت فرصت داده شد تا ایراد را اصلاح کند (به علاوه 14 روز مهلت اضافی قبل از اینکه به صورت عمومی اعلام شود)
GitHub موفق شد این مسئله را در 16 نوامبر با غیرفعال کردن دو دستور قدیمی حل کند. به عنوان مثال در نسخه قبلی دستور runner “set-env” باعث ایجاد مشکلاتی میشد زیرا توانایی آن در تعریف متغیرهای دلخواه محیط به معنای بهره برداری از آن برای شروع حملات تزریق بود.
فلیکس ویلهلم ، محقق Google Project Zero، توضیح داد:
“همانطور که این فرآیند، هر خط چاپ شده در STDOUT را به خاطر دستورات workflow تجزیه میکند، هر عملکرد GitHub هم که محتوای نامعتبر را به عنوان بخشی از اجرای آن چاپ می کند، آسیب پذیر است.” “در بیشتر موارد، توانایی تنظیم متغیرهای دلخواه محیط منجر به اجرای کد به محض اجرای workflow دیگر می شود. در تحقیقات خود به مخازن محبوب GitHub رسیدهام و تقریباً هر پروژهای با اقدامات GitHub در معرض این کلاس اشکال است. “
در حال حاضر نقص بزرگ امنیتی GitHub حل شده است
این پچ احتمالاً فقط در کوتاه مدت موثر است اما اکنون Project Zero این مشکل را از میان برداشته و 9 اشکال امنیتی حل نشده دیگر را هم به همراه این Patch شناسایی و برطرف کرده است. نقاط ضعف برجستهای که در این Patch بر طرف شده بر نرم افزارهای تولید شده توسط اپل، کوالکام، مایکروسافت و خود گوگل هم تأثیر میگذارد.
نظر شما درباره این مشکل امنیتی چیست؟ آیا به آن برخورده بودید؟ آیا شرکتهای دیگر برای این Patch جدید و تغییرات اعمال شده آمادگی دارند؟
دیدگاهتان را بنویسید