GitHub corrige falha de segurança grave detectada pelo Google

Pode levar quatro anos para que vulnerabilidades em software de código aberto sejam detectadas
GitHub contabilizou mais de 56 milhões de desenvolvedores na plataforma, com mais de 60 milhões de novos repositórios. Imagem: GitHub.

O GitHub corrigiu uma falha de segurança de alta gravidade relatada pelo Project Zero do Google. O bug afetou o recurso Actions (uma ferramenta de automação do fluxo de trabalho do desenvolvedor), que o pesquisador Felix Wilhelm disse ser “altamente vulnerável a ataques de injeção”.

Enquanto o Google o descreveu como um bug de alta gravidade, o GitHub argumentou que era uma vulnerabilidade de segurança moderada. O Project Zero geralmente revela quaisquer falhas que encontra 90 dias após relatá-las.

GitHub corrige falha de segurança grave

Um dia antes do prazo de divulgação, o GitHub disse ao Google que não desabilitaria os comandos vulneráveis até 2 de novembro e, em seguida, solicitou 48 horas adicionais; não para corrigir o problema, mas para notificar os clientes e determinar uma data fixa em algum momento no futuro. O Google publicou os detalhes do bug 104 dias depois de relatar o problema ao GitHub.

GitHub corrige falha de segurança grave detectada pelo Google
O GitHub corrigiu uma falha de segurança de alta gravidade relatada pelo Project Zero do Google.

O GitHub finalmente resolveu o problema na semana passada, desativando os antigos comandos “set-env” e “add-path”. A correção foi implementada em 16 de novembro, duas semanas depois que Wilhelm divulgou publicamente o problema.

Como Wilhelm observou em seu relatório, a versão anterior do comando “set-env” era interessante do ponto de vista da segurança porque pode ser usada para definir variáveis de ambiente arbitrárias como parte de uma etapa do fluxo de trabalho.

Wilhelm escreveu:

O grande problema com esse recurso é que ele é altamente vulnerável a ataques de injeção.

Na maioria dos casos, a capacidade de definir variáveis de ambiente arbitrárias resulta na execução remota de código assim que outro fluxo de trabalho é executado.

Agora que o GitHub desativou os dois comandos vulneráveis, Wilhelm também atualizou seu relatório de problema para confirmar que o problema foi corrigido.

ZDNET

Youtube-dl está de volta após remoção do GitHub

GitHub nega ter sido hackeado

GitHub lança ferramenta de verificação de código para encontrar vulnerabilidades de segurança