在代码托管网站要求在正常的90天披露期限内双倍延长后,谷歌安全团队Google Project Zero(谷歌项目零)公布了其在GitHub上的一个严重缺陷。GitHub的Actions功能(一个开发人员工作流自动化工具)中的缺陷已经变成了在googleprojectzero(GPZ)标准的90天期限到期之前,很少有漏洞没有得到妥善修复。超过95.8%的缺陷在截止日期内修复,根据谷歌黑客的说法。
GPZ通常对90天的截止日期要求严格,但在Google给予它修复缺陷的机会后,GitHub的回应似乎有点松懈。
as详见GPZ的Felix Wilhelm的披露时间表,谷歌安全团队于7月21日向GitHub的安全部门报告了这一问题,并将披露日期定在10月18日。
根据Wilhelm的说法,Actions的工作流命令“极易受到注入攻击”。
“因为运行程序进程会解析打印到STDOUT的每一行来寻找工作流命令,每个在执行过程中打印不受信任内容的GitHub操作都易受攻击。在大多数情况下,设置任意环境变量的能力会导致在执行另一个工作流时立即执行远程代码,“Wilhelm写道。
“我花了一些时间查看了流行的GitHub存储库,几乎所有具有复杂GitHub操作的项目都容易受到此bug类的攻击。”
GitHub已发布10月1日发表的一份咨询意见,反对使用易受攻击的命令,但认为Wilhelm发现的事实上是一个“中等安全漏洞”。GitHub为bug分配了跟踪标识符CVE-2020-15228。
据Wilhelm称,10月12日,GPZ联系GitHub,如果GitHub希望有更多时间禁用易受攻击的命令,则主动为其提供14天的宽限期。
GitHub随后接受了宽限期的提议,根据Wilhelm的说法,它希望在10月19日之后禁用易受攻击的命令。GPZ随后将新的披露日期设置为11月2日。
然后在10月28日,GPZ通知GitHub,截止日期将在下一周到期,但没有得到任何回应。
由于GitHub没有官方回应,零项目联系了非正式的GitHub联系人,他们说“这个问题被认为是已经解决了,[GPZ]很明显可以公开Wilhelm解释道,
但在截止日期前一天,GitHub给出了官方回复,并要求在未来两天内通知客户修复方案。
“GitHub回应并提到,到2020-11-02,他们不会禁用易受攻击的命令。他们要求额外48小时,不是为了解决问题,而是为了通知客户,并在未来某个时候确定一个“硬性日期”,Wilhelm写道。
因此GPZ在周一继续披露了它报告的错误,因为它不能按照其政策,提供超过104天–90天加上14天宽限期的延期。
“对于预计修复时间超过104天的漏洞,将不给予宽限期,“Google Project Zero”对其2020年披露政策进行了陈述
