O GitHub corrigiu uma falha de segurança de alta gravidade relatada pelo Project Zero do Google. O bug afetou o recurso Actions (uma ferramenta de automação do fluxo de trabalho do desenvolvedor), que o pesquisador Felix Wilhelm disse ser “altamente vulnerável a ataques de injeção”.
Enquanto o Google o descreveu como um bug de alta gravidade, o GitHub argumentou que era uma vulnerabilidade de segurança moderada. O Project Zero geralmente revela quaisquer falhas que encontra 90 dias após relatá-las.
GitHub corrige falha de segurança grave
Um dia antes do prazo de divulgação, o GitHub disse ao Google que não desabilitaria os comandos vulneráveis até 2 de novembro e, em seguida, solicitou 48 horas adicionais; não para corrigir o problema, mas para notificar os clientes e determinar uma data fixa em algum momento no futuro. O Google publicou os detalhes do bug 104 dias depois de relatar o problema ao GitHub.
O GitHub finalmente resolveu o problema na semana passada, desativando os antigos comandos “set-env” e “add-path”. A correção foi implementada em 16 de novembro, duas semanas depois que Wilhelm divulgou publicamente o problema.
Como Wilhelm observou em seu relatório, a versão anterior do comando “set-env” era interessante do ponto de vista da segurança porque pode ser usada para definir variáveis de ambiente arbitrárias como parte de uma etapa do fluxo de trabalho.
Wilhelm escreveu:
O grande problema com esse recurso é que ele é altamente vulnerável a ataques de injeção.
Na maioria dos casos, a capacidade de definir variáveis de ambiente arbitrárias resulta na execução remota de código assim que outro fluxo de trabalho é executado.
Agora que o GitHub desativou os dois comandos vulneráveis, Wilhelm também atualizou seu relatório de problema para confirmar que o problema foi corrigido.
ZDNET
GitHub lança ferramenta de verificação de código para encontrar vulnerabilidades de segurança
