نقص بزرگ امنیتی GitHub سرانجام برطرف شد
سخت افزار/ بالاخره يک نقص بزرگ امنيتي GitHub پس از گذشت سه ماه از پيدا کردن آن برطرف شد. تيم Project Zero شرکت گوگل در ماه جولاي به GitHub اطلاع داد که ويژگي GitHub Actions آن در برابر حملات تزريق (وارد کردن مقادير غير امن يا نصب افزونههاي نا امن) بسيار آسيب پذير است. 90 روز به اين شرکت فرصت داده شد تا ايراد را اصلاح کند (به علاوه 14 روز مهلت اضافي قبل از اينکه به صورت عمومي اعلام شود)
GitHub موفق شد اين مسئله را در 16 نوامبر با غيرفعال کردن دو دستور قديمي حل کند. به عنوان مثال در نسخه قبلي دستور runner “set-env” باعث ايجاد مشکلاتي ميشد زيرا توانايي آن در تعريف متغيرهاي دلخواه محيط به معناي بهره برداري از آن براي شروع حملات تزريق بود.
فليکس ويلهلم ، محقق Google Project Zero، توضيح داد:
“همانطور که اين فرآيند، هر خط چاپ شده در STDOUT را به خاطر دستورات workflow تجزيه ميکند، هر عملکرد GitHub هم که محتواي نامعتبر را به عنوان بخشي از اجراي آن چاپ مي کند، آسيب پذير است.” “در بيشتر موارد، توانايي تنظيم متغيرهاي دلخواه محيط منجر به اجراي کد به محض اجراي workflow ديگر مي شود. در تحقيقات خود به مخازن محبوب GitHub رسيدهام و تقريباً هر پروژهاي با اقدامات GitHub در معرض اين کلاس اشکال است. “
در حال حاضر نقص بزرگ امنيتي GitHub حل شده است
اين پچ احتمالاً فقط در کوتاه مدت موثر است اما اکنون Project Zero اين مشکل را از ميان برداشته و 9 اشکال امنيتي حل نشده ديگر را هم به همراه اين Patch شناسايي و برطرف کرده است. نقاط ضعف برجستهاي که در اين Patch بر طرف شده بر نرم افزارهاي توليد شده توسط اپل، کوالکام، مايکروسافت و خود گوگل هم تأثير ميگذارد.
نظر شما درباره اين مشکل امنيتي چيست؟ آيا به آن برخورده بوديد؟ آيا شرکتهاي ديگر براي اين Patch جديد و تغييرات اعمال شده آمادگي دارند؟