GitHub risolve finalmente il problema di sicurezza di gravità “elevato” segnalato da Google Project Zero

0
github
github

Il team di Project Zero di Google si dedica alla ricerca di vulnerabilità di sicurezza nel software dell’azienda e in quelli sviluppati da altre aziende. La sua metodologia prevede la segnalazione privata di difetti ai fornitori e la concessione di 90 giorni per risolverli prima della divulgazione pubblica. A seconda della gravità della situazione, questa scadenza può essere estesa o ravvicinata secondo le linee guida standard del gruppo.

All’inizio di novembre, Google ha divulgato pubblicamente un problema di sicurezza di gravità “elevata” in GitHub a seguito dell’incapacità di quest’ultimo di risolverlo in 104 giorni, più del lasso di tempo standard. Tuttavia, gli utenti di GitHub saranno ora felici di sapere che il buco di sicurezza è stato finalmente colmato .

Il difetto di sicurezza in questione era che i comandi del flusso di lavoro, che fungono da canale di comunicazione tra le azioni eseguite e l’Action Runner, in GitHub Actions sono estremamente vulnerabili agli attacchi injection. Felix Wilhelm di Google Project Zero, che originariamente aveva segnalato il difetto di sicurezza, ha affermato che il modo in cui vengono implementati i comandi del flusso di lavoro è “fondamentalmente insicuro”. Una soluzione a breve termine sarebbe deprecare la sintassi del comando, mentre una correzione a lungo termine comporterebbe lo spostamento dei comandi del flusso di lavoro su un canale fuori limite, ma anche questo è complicato perché interromperebbe il codice dipendente. Google ha divulgato pubblicamente il problema il 2 novembre in seguito alla mancata risoluzione del problema da parte di GitHub nei 104 giorni previsti.

Apparentemente, questo ha esercitato una certa pressione sulla società poiché la vulnerabilità è stata ora corretta. Le note sulla patch indicano che la correzione è in linea con la soluzione a breve termine proposta da Wilhelm:

  • Comandi add-path e set-env runner disabilitati (# 779)
  • Script di installazione dotnet aggiornati (# 779)

Il problema è stato risolto da GitHub pochi giorni fa ma ora è stato convalidato dal team di Google Project Zero ed è stato contrassegnato come tale nel repository del problema . Questo porta l’elenco dei problemi aperti segnalati dal team di sicurezza a nove . Include software sviluppato da numerosi fornitori, tra cui Microsoft, Qualcomm e Apple. L’unico problema aperto presente nel software di Google è relativo a una perdita di puntatori su Android , ma lo stato di questo difetto di gravità “medio” è aperto da settembre 2016.