谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞

据悉，问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。而所谓的 Actions，主要负责与“动作执行器”（Action Runner）之间的通信工作。

Felix Wilhelm 在审查源代码时发现了这个严重的安全隐患：“当进程解析至 STDOUT 的每一行，以寻找工作流命令时，每个 GitHub 操作都会在执行过程中打印出不受信任的内容”。

在大多数情况下，设置任意环境变量的功能，会在执行另一个工作流程后立即执行远程代码。换言之，这一缺陷使之极易受到注入攻击。

Felix Wilhelm 花了一些时间来查看流行的 GitHub 存储库，结果发现几乎所有具有某些复杂 GitHub Actions 的项目都极易受到此类 Bug 的影响。

自 7 月 21 日发现该安全漏洞之后，Project Zero 团队已经及时向 GitHub 方面通报了此事，并为其提供了标准的 90 天宽限期（截止 10 月 18 日）。

最终 GitHub 决定弃用易受攻击的命令，并发出“中等严重的安全漏洞”的修补建议，通知开发者更新其工作流程。

尴尬的是，由于工作流命令的实现方法存在根本性的不安全问题，Felix Wilhelm 也无法确定该如何解决这个问题。

作为临时的应对措施，相关项目只得先弃用命令语法。长期的解决方案，仍需将工作流命令从界内通道移往它处，但这么做又会破坏其它相关代码，让所有人都感到头痛不已。

10 月 16 日，GitHub 得到了 Project Zero 团队提供的额外 14 天宽限期，以完全禁用相关命令（新截止日期为 11 月 2 日）。

不过当 GitHub 试图再申请 48 小时的宽限期后，Project Zero 觉得一再拖延并不能解决问题，并且有违标准的漏洞披露流程，于是最终还是披露了漏洞详情和概念验证代码。

本文素材来自互联网