GitHub corrige falha de segurança grave detectada pelo Google

O GitHub corrigiu uma falha de segurança de alta gravidade relatada pelo Project Zero do Google. O bug afetou o recurso Actions (uma ferramenta de automação do fluxo de trabalho do desenvolvedor), que o pesquisador Felix Wilhelm disse ser “altamente vulnerável a ataques de injeção”.

Enquanto o Google o descreveu como um bug de alta gravidade, o GitHub argumentou que era uma vulnerabilidade de segurança moderada. O Project Zero geralmente revela quaisquer falhas que encontra 90 dias após relatá-las.

GitHub corrige falha de segurança grave

Um dia antes do prazo de divulgação, o GitHub disse ao Google que não desabilitaria os comandos vulneráveis até 2 de novembro e, em seguida, solicitou 48 horas adicionais; não para corrigir o problema, mas para notificar os clientes e determinar uma data fixa em algum momento no futuro. O Google publicou os detalhes do bug 104 dias depois de relatar o problema ao GitHub.

GitHub corrige falha de segurança grave detectada pelo Google
O GitHub corrigiu uma falha de segurança de alta gravidade relatada pelo Project Zero do Google.

O GitHub finalmente resolveu o problema na semana passada, desativando os antigos comandos “set-env” e “add-path”. A correção foi implementada em 16 de novembro, duas semanas depois que Wilhelm divulgou publicamente o problema.

Como Wilhelm observou em seu relatório, a versão anterior do comando “set-env” era interessante do ponto de vista da segurança porque pode ser usada para definir variáveis de ambiente arbitrárias como parte de uma etapa do fluxo de trabalho.

Wilhelm escreveu:

O grande problema com esse recurso é que ele é altamente vulnerável a ataques de injeção.

Na maioria dos casos, a capacidade de definir variáveis de ambiente arbitrárias resulta na execução remota de código assim que outro fluxo de trabalho é executado.

Agora que o GitHub desativou os dois comandos vulneráveis, Wilhelm também atualizou seu relatório de problema para confirmar que o problema foi corrigido.

ZDNET

Youtube-dl está de volta após remoção do GitHub

GitHub nega ter sido hackeado

GitHub lança ferramenta de verificação de código para encontrar vulnerabilidades de segurança

Artigos recentes

Artigos relacionados