گیت‌هاب خبر از اصلاح یک مشکل امنیتی مهم داد

گیت‌هاب خبر از اصلاح یک مشکل امنیتی مهم داد

سه ماه پس از شناسایی یک نقص امنیتی مهم در گیت‌هاب بالاخره این نقص رفع شد.

در ماه جولای تیم Project Zero گوگل به گیت‌هاب اطلاع داده بود که قابلیت GitHub Actions این پلتفرم در برابر حملات تزریق کد بشدت آسیب پذیر است. به این شرکت ۹۰ روز مهلت داده شده تا قبل از اعلام عمومی این نقص امنیتی آن را اصلاح کند.

اما گیت‌هاب توانست در شانزدهم نوامبر با غیرفعال کردن دو فرمان قدیمی تر این نقص امنیتی را رفع کند. برای مثال نسخه قبلی فرمان set-env یکی از فرمان‌های مشکل آفرین بود چون امکان تعریف متغیرهای محیطی دلخواه را داشت در نتیجه هکرها می‌توانستند برای اجرای حملات تزریق کد از آن استفاده کنند.

طبق توضیحات Felix Wilhelm محقق Project Zero گوگل “از آنجایی که این فرایند همه خط‌های چاپ شده در STDOUT را پارس می‌کند تا فرمان‌های workflow را پیدا کند، هر اکشنی در گیت‌هاب که منجر به پرینت محتوای غیرقابل اعتماد شود، در برابر این خطا آسیب پذیر است. در بیشتر مواقع امکان تنظیم متغیرهای محیطی به شکل دلخواه منجر به اجرای کد از راه دور به محض اجرای یک workflow دیگر می‌شود. من مدتها مخازن پرکاربرد گیت‌هاب را جستجو کردم و تقریباً همه پروژه‌هایی با اکشن‌های پیچیده در گیت‌هاب در برابر این باگ آسیب پذیر بودند.”

 

حل موقت مشکل

احتمالاً این پچ یک راهکار موقت و کوتاه مدت است چون فقط فرمان‌های مخرب حذف شده اند. راهکار بلندمدت، انتقال فرمان‌های workflow به یک کانال خارج از باند است اما این راهکار بر بعضی از کدها تاثیر نامطلوب خواهد داشت به همین دلیل ممکن است پیاده سازی آن مدتی زمان ببرد.

در حال حاضر Project Zero این مشکل را جزء باگ‌های رفع شده ثبت کرده ولی هنوز ۹ باگ امنیتی که توسط این تیم شناسایی شدند اصلاح نشده اند. این آسیب پذیری‌ها بر محصولات تولید شده توسط اپل، کوالکام، مایکروسافت و خود گوگل تاثیرگذار هستند.

مجله تکنولوژی تکین مال

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دو + 1 =

پست بعدی

امروزه محتوای صوتی در شبکه های اجتماعی بیشتر شده در نتیجه کاربران ناشنوا احساس کمبود بیشتری دارند

پ نوامبر 26 , 2020
امروزه محتوای صوتی در شبکه های اجتماعی بیشتر شده در نتیجه کاربران ناشنوا احساس کمبود بیشتری دارند مهم ترین قابلیت جدید شبکه‌های اجتماعی در دسترس خیلی‌ها قرار ندارد در ادامه به امروزه محتوای صوتی در شبکه های اجتماعی بیشتر شده در نتیجه کاربران ناشنوا احساس کمبود بیشتری دارند می پردازیم […]
رسانه های اجتماعی بیش از هر زمان دیگری صدا را در آغوش می گیرند - اما کاربران ناشنوا عقب مانده اند