کمیته رکن چهارم _ بالاخره یک نقص بزرگ امنیتی GitHub پس از گذشت سه ماه از پیدا کردن آن برطرف شد.
تیم Project Zero شرکت گوگل در ماه جولای به GitHub اطلاع داد که ویژگی GitHub Actions آن در برابر حملات تزریق (واردکردن مقادیر غیر امن یا نصب افزونههای ناامن) بسیار آسیبپذیر است. ۹۰ روز به این شرکت فرصت داده شد تا ایراد را اصلاح کند؛ بهعلاوه ۱۴ روز مهلت اضافی قبل از اینکه بهصورت عمومی اعلام شود.
GitHub موفق شد این مسئله را در ۱۶ نوامبر با غیرفعال کردن دو دستور قدیمی حل کند. بهعنوانمثال در نسخه قبلی دستور runner “set-env” باعث ایجاد مشکلاتی میشد، زیرا توانایی آن در تعریف متغیرهای دلخواه محیط به معنای بهرهبرداری از آن برای شروع حملات تزریق بود.
فلیکس ویلهلم، محقق Google Project Zero، توضیح داد: «همانطور که این فرایند، هر خط چاپشده در STDOUT را به خاطر دستورات workflow تجزیه میکند، هر عملکرد GitHub هم که محتوای نامعتبر را بهعنوان بخشی از اجرای آن چاپ میکند، آسیبپذیر است. در بیشتر موارد، توانایی تنظیم متغیرهای دلخواه محیط منجر به اجرای کد بهمحض اجرای workflow دیگر میشود. در تحقیقات خود به مخازن محبوب GitHub رسیدهام و تقریباً هر پروژهای با اقدامات GitHub در معرض این کلاس اشکال است.»
در حال حاضر نقص بزرگ امنیتی GitHub حلشده است. این پچ احتمالاً فقط در کوتاهمدت مؤثر است اما اکنون Project Zero این مشکل را از میان برداشته و ۹ اشکال امنیتی حلنشده دیگر را هم به همراه این Patch شناسایی و برطرف کرده است. نقاط ضعف برجستهای که در این Patch برطرف شده بر نرمافزارهای تولیدشده توسط اپل، کوالکام، مایکروسافت و خود گوگل هم تأثیر میگذارد.
منبع : سختافزار مگ