谷歌 Project Zero 团队披露了 GitHub Actions 中存在的严重安全漏洞

过去几年，谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下，受影响的机构将有 90 天的时间来筹备修复，然后相关漏洞详情才会被公开披露。最新消息是，谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。

据悉，问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions，主要负责与“动作执行器”（Action Runner）之间的通信工作。

http://hackernews.cc/wp-content/uploads/2020/11/a4b9d7ca1a380e7.png

Felix Wilhelm 在审查源代码时发现了这个严重的安全隐患：“当进程解析至 STDOUT 的每一行，以寻找工作流命令时，每个 GitHub 操作都会在执行过程中打印出不受信任的内容”。

自 7 月 21 日发现该安全漏洞之后，Project Zero 团队已经及时向 GitHub 方面通报了此事，并为其提供了标准的 90 天宽限期（截止 10 月 18 日）。

最终 GitHub 决定弃用易受攻击的命令，并发出“中等严重的安全漏洞”的修补建议，通知开发者更新其工作流程。

10 月 16 日，GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期，以完全禁用相关命令（新截止日期为 11 月 2 日）。

不过当 GitHub 试图再申请 48 小时的宽限期后，Project Zero 觉得一再拖延并不能解决问题，并且有违标准的漏洞披露流程，于是最终还是披露了漏洞详情和概念验证代码。

（消息来源：cnBeta；封面来自网络）