Actualités

Github : vulnérabilité découverte dans la fonctionnalité “actions” !

L’équipe Google Project Zero a encore frappé : une attaque potentielle par injection a été mise en lumière depuis le 21 Juillet dernier. Cette dernière pointe vers “actions”, une fonctionnalité qui permet d’optimiser ou de mieux orienter le flux de travail ou d’ensemble de tâches (workflow, pour les initiés) à destination des développeurs.

 

 

La vulnérabilité prend son sein sur “set-env” dont les variables que le paramètre permet d’intégrer peut potentiellement receler une exécution de code arbitraire : “un exemple simple (en V1 syntaxe) serait ## [set-env name = VERSION;] alpha, qui place VERSION = alpha dans l’environnement de tous étapes suivantes dans un flux de travail. Le gros problème de cette fonctionnalité est qu’elle est très vulnérable aux attaques par injection. Comme le Le processus d’exécution analyse chaque ligne imprimée sur STDOUT à la recherche de commandes de workflow, chaque action Github qui imprime un contenu non approuvé dans le cadre de son exécution est vulnérable. Dans la plupart des cas, le la possibilité de définir des variables d’environnement arbitraires entraîne l’exécution de code à distance dès qu’un autre flux de travail est exécuté“.

Les modifications ou ajouts de code (pull request) ne sont pas épargnées : il suffirait de créer dans le répertoire-dépôt une telle requête ou modification pour instiller le code malicieux : “cela inclut également le corps et le titre du PR contrôlé par l’attaquant et peut être exploité en créant un PR non-forké et non rebasable avec le corps suivant: ## [set-env name = NODE_OPTIONS;] – modules-expérimentaux –experimental-loader = données: texte / javascript, console.log (Buffer.from (JSON.stringify (process.env)). toSt anneau (‘hex’)); // ” (Cela fonctionne même si le corps est imprimé dans le cadre d’un document JSON, car les commandes de workflow V1 peuvent commencer au milieu d’une ligne.). L’exécution du code est déclenchée en commentant simplement «/ rebase» sous le PR“.

Assignée CVE-2020-15228 depuis le 1er Octobre 2020, Github a modifié le paramètre incriminé mais ne l’a, pourtant, pas supprimé. L’équipe de Google, au 1er Novembre dernier, fournit un délai de 104 jours à Github pour appliquer les recommandations (90 jours + 14 jours de grâce). Une nouvelle version (1.2.6) est disponible avec les modifications apportées… A veiller !

 

 

Source : Google Project Zero (Chromium) – 21 Juillet 2020 (2 Novembre 2020 : publication) – Github : exploit arbitraire depuis “actions” (workflow).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.6.3