パスワードを忘れた? アカウント作成
14978756 story
バグ

GoogleのProject Zero、GitHub Actionsの脆弱性を公表 9

ストーリー by nagazou
脆弱 部門より
headless 曰く、

GoogleのProject Zeroは2日、GitHubのリポジトリ内でソフトウェア開発ワークフローを自動化できるGitHub Actionsの脆弱性を公表した(Issue 2070Neowinの記事)。

脆弱性が見つかったのはGitHub Actionsのワークフローコマンドの実行に関するものだ。Actionsのランナーは実行されたアクションのSTDOUT出力をパースし、ワークフローコマンドを探して実行する。そのため、信頼されていないコンテンツを出力するアクションにはインジェクション攻撃を可能にする脆弱性がある。たとえば、環境変数を設定する「set-env」や、パスを追加する「add-path」といったワークフローコマンドに悪意のあるパラメーターが指定されると、その後のワークフロー実行時にリモートからコードが実行される可能性があるという。

Project Zeroは7月21日に脆弱性をGitHubへ報告。GitHub側は10月1日にCVE-2020-15228としてアドバイザリーを公開し、脆弱性のあるコマンドの非推奨化を発表した。報告から90日後の公表期限は10月19日だったが、GitHubは脆弱性のあるコマンドを無効化するために14日間の猶予期間追加を要請し、期限は11月2日となった。GitHubはさらに48時間の追加を求めたが、問題の修正が目的ではなかったためProject Zeroは認めずに脆弱性を公表したとのことだ。

  • by Anonymous Coward on 2020年11月06日 9時33分 (#3919420)

    GitHub Actionとか誰もつかってないん?

    ここに返信
    • by Anonymous Coward

      そもそもGitHub使ってない
      MSが買収してからずっとサービスが止まりまくって、まともに使えたためしが無いし

      • by Anonymous Coward

        付いたコメは、エアプでした。

        • by Anonymous Coward

          使ってないのに、ずっと止まりまくり(ニチャァ)と言えちゃうのがね...

          • by Anonymous Coward

            こないだもGitHub関連でアンチMS湧いてたけど、
            真正のアンチMSはやっぱアホしかいないんだなって感想しかねぇわ。
            MSがポカしたストーリーでだけ適切にMS批判してる人は一緒にされたくないだろうな。

    • by Anonymous Coward

      悪意のあるユーザーがコミットできるようなプロジェクトの管理はしていないんじゃないかな。
      個人かせいぜい部署内ぐらいでしょ。

    • by Anonymous Coward

      GitHub Enterpriseが2.22でGitHub Actions Betaとか機能追加されて楽しみだろうけど
      マイナーバージョン低いうちは今までも少し不安定だったから導入は慎重にねってメールがサポートから来てたな。
      2.22.0が2020/9/23で今は2.22.3か。
      https://enterprise.github.com/releases [github.com]

    • by Anonymous Coward

      仕事絡みはNDAとかセキュリティ面でクラウドにソース上げられないからなぁ。

  • by Anonymous Coward on 2020年11月06日 11時57分 (#3919551)

    環境変数もだけど。
    正直知らん。

    ここに返信
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...