Google Project Zero本周拒绝再延长GitHub的漏洞修补期间,公布一项功能的高风险漏洞。
Project Zero成员Felix Wilhelm 7月21日通报GitHub Actions存在一项漏洞,编号CVE-2020-15228,到本周一已经满104天,GitHub仍未修补完成。本周他决定依据Google 90天的公告政策,将该漏洞公布出来。
GitHub Actions为GitHub提供的一项服务,方便开发人员在GitHub构建、测试、封装、发布或部署任何项目,借此构建端对端(end-to-end) CI /CD功能。Actions的workflow功能允许用户设定自动化流程。本次漏洞出在workflow功能中一项名为set-env的指令,该指令允许在workflow中定义任何环境变项和路径。Wilhelm指出,从安全角度来看,该指令可能允许外人注入环境变项,引发不当指令注入到执行流程中,波及每个执行的GitHub action,大部分情况下,可造成远程程序代码执行,他指出,任何使用较复杂GitHub actions的项目都受该漏洞影响。
根据GitHub 10月公布的安全公告,CVE-2020-15228为中度风险漏洞,建议客户升级到2.273.1版本以后的Actions runner。
但Project Zero认为本漏洞属于高度风险(high severity)。研究人员建议移除有问题的set-env指令才是最终解决,不能仅移除有问题的指令语法,但他也承认可能影响现有许多程序代码。
在Google Project Zero第一次公告的90天政策下,预定漏洞公开日为10月19日。在即将到期之际,因为GitHub要多一点时间,于是Google方面又给予14天宽限期,将公布日期延到11月2日。按照Google方面的说法,到了11月1日,GitHub方面回应要求多2天通知用户,但并不愿移除有问题的指令,而是日后再决定“最终期限”。Google拒绝再次延期,并在隔日公布漏洞。