谷歌对GitHub:时间到了--这个未修复的“高度严重”安全漏洞影响了开发人员

2020-11-04 00:27:45

在GitHub代码托管网站要求将正常的90天披露期限延长一倍后,谷歌安全团队谷歌零项目(Google Project Zero)披露了它认为GitHub存在严重缺陷的信息。

GitHub的操作功能(开发人员工作流程自动化工具)中存在的漏洞,已成为在Google Project Zero(GPZ)标准90天期限到期前未得到妥善修复的罕见漏洞之一。在Google Project Zero(GPZ)标准的90天期限过后,GitHub的操作功能(Actions)中的漏洞已成为少有的未得到妥善修复的漏洞之一。据谷歌黑客称,超过95.8%的漏洞在最后期限内被修复。

众所周知,GPZ对90天的最后期限通常很严格,但在谷歌给了它一切机会修复这个漏洞后,随着最后期限的临近,GitHub的回应似乎有点松懈。

正如GPZ的菲利克斯·威廉姆(Felix Wilhelm)在一份披露时间表中详细描述的那样,谷歌安全团队于7月21日向GitHub的安全部门报告了这一问题,披露日期定在10月18日。

当运行程序进程解析打印到STDOUT的每一行以查找工作流命令时,作为其执行的一部分打印不可信内容的每个GitHub操作都容易受到攻击。Wilhelm写道,在大多数情况下,设置任意环境变量的能力会导致在执行另一个工作流后立即远程执行代码。

我花了一些时间查看流行的GitHub存储库,几乎任何具有稍微复杂的GitHub操作的项目都容易受到此错误类的攻击。

GitHub在10月1日发布了一项建议,反对这些易受攻击的命令,但辩称Wilhelm发现的实际上是一个中度安全漏洞。GiHub为该漏洞分配了跟踪标识符cve-2020-15228。

据Wilhelm称,10月12日,GPZ联系了GitHub,如果GitHub想要更多时间禁用易受攻击的命令,GPZ将主动提供14天的宽限期。

GitHub随后接受了宽限期的提议,根据Wilhelm的说法,它希望在10月19日之后禁用这些易受攻击的命令。GPZ随后将新的披露日期设定为11月2日。

然后在10月28日,GPZ通知GitHub截止日期将于下周到期,但没有得到任何回应。

Wilhelm解释说,由于GitHub没有做出官方回应,Project Zero联系了GitHub的非正式联系人,他们表示这个问题已经解决,[GPZ]显然将按计划在2020-11-02上市。

但在截止日期的前一天,GitHub做出了官方回应,并要求再延长两天,在未来的日期通知客户修复情况。

GitHub回应并提到,他们不会在2020-11-02年前禁用这些易受攻击的命令。威廉写道,他们要求额外的48小时,不是为了解决这个问题,而是通知客户,并在未来的某个时候确定一个硬日期。

因此,GPZ在周一继续披露了它报告的漏洞,因为根据其政策,它可以提供104天-90天外加14天宽限期以外的延期。

预计修复时间超过104天的漏洞将不会获得宽限期,Google Project Zero在其2020年的披露政策中声明。