首页保安GitHub:修复了Google发现的严重漏洞

GitHub:修复了Google发现的严重漏洞

GitHub上 终于解决了一个 团队报告的严重漏洞 安全 Google的零项目。 研究人员三个月前更新了GitHub。

GitHub漏洞

受漏洞影响的操作 GitHub动作。 根据Google研究人员Felix Wilhelm的说法,脆弱性使其成为 工具 容易受到伤害的行动 “注射 攻击.

谷歌曾表示这是一个非常严重的漏洞,但是GitHub并没有立即回应,因为它声称这是一个“中等安全漏洞”。

Google Project Zero小组通常会披露 虫子 在他们向主管报告后的90天后发现。 90天的期限已经过去,GitHub尚未修复该漏洞。 的 研究人员 Google又给了他14天的时间,但还是没有任何反应。 因此,他们决定(在XNUMX月初)披露此漏洞。

GitHub计划的发布活动的前一天(在扩展之后)告诉GitHub,直到2月48日,它才会禁用Actions的易受攻击的工作流命令,并要求额外的XNUMX小时。 但是,这些额外的时间将用于 通知他们 客户 用于将来解决问题,而不是纠正漏洞。

谷歌

自从GitHub上的首次报告以来已经过去了104天,Google研究团队决定揭露该漏洞,并且不给更多时间。

GitHub上周终于修复了该漏洞, 禁用旧的Actions运行程序命令“ set-env”和“ add-path”,由研究员威廉(Wilhelm)建议。

更正发布于 16十一月,即启示后两周 漏洞 来自Google。

正如威廉所说,“动作”很容易被注射 攻击, 因为 漏洞 最终可能导致 执行恶意代码.

现在GitHub已禁用这两个易受攻击的命令,Wilhelm已更新了他的报告,并确认该问题已解决。

资料来源:ZDNet

发表评论

请输入您发表评论!
请在此输入你的名字

数字要塞
数字要塞https://www.secnews.gr
追求梦想与生活!
spot_img

实时新闻