谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞

　　原标题：谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞

 

　　过去几年，谷歌 Project Zero 团队已经披露过影响 Windows 10、macOS、iOS 等平台的严重安全漏洞。通常情况下，受影响的机构将有 90 天的时间来筹备修复，然后相关漏洞详情才会被公开披露。最新消息是，谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。

 

　　据悉，问题源于 GitHub Actions中的工作流命令极易受到注入攻击。而所谓的 Actions，主要负责与“动作执行器”（Action Runner）之间的通信工作。

 

　　Felix Wilhelm 在审查源代码时发现了这个严重的安全隐患：“当进程解析至 STDOUT 的每一行，以寻找工作流命令时，每个 GitHub 操作都会在执行过程中打印出不受信任的内容”。

　　在大多数情况下，设置任意环境变量的功能，会在执行另一个工作流程后立即执行远程代码。换言之，这一缺陷使之极易受到注入攻击。

 

　　Felix Wilhelm 花了一些时间来查看流行的 GitHub 存储库，结果发现几乎所有具有某些复杂 GitHub Actions 的项目都极易受到此类 Bug 的影响。

 

　　自 7 月 21 日发现该安全漏洞之后，Project Zero 团队已经及时向 GitHub 方面通报了此事，并为其提供了标准的 90 天宽限期（截止 10 月 18 日）。

 

　　最终 GitHub 决定弃用易受攻击的命令，并发出“中等严重的安全漏洞”的修补建议，通知开发者更新其工作流程。

 

　　尴尬的是，由于工作流命令的实现方法存在根本性的不安全问题，Felix Wilhelm 也无法确定该如何解决这个问题。

 

　　作为临时的应对措施，相关项目只得先弃用命令语法。长期的解决方案，仍需将工作流命令从界内通道移往它处，但这么做又会破坏其它相关代码，让所有人都感到头痛不已。

 

　　10 月 16 日，GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期，以完全禁用相关命令（新截止日期为 11 月 2 日）。

 

　　不过当 GitHub 试图再申请 48 小时的宽限期后，Project Zero 觉得一再拖延并不能解决问题，并且有违标准的漏洞披露流程，于是最终还是披露了漏洞详情和概念验证代码。