|
|
|
|
公众号矩阵

GitHub终于修复了Google Project Zero 报告的高危安全漏洞

谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷,并在公开披露前给他们90天的时间来修复。

作者:佚名来源:cnBeta.COM|2020-11-21 19:30

谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷,并在公开披露前给他们90天的时间来修复。根据情况的严重程度,这一期限可能会根据该集团的标准准则被延长或拉近。

11月初,谷歌公开披露了GitHub中的一个 "高"严重性安全问题,此前后者无法在104天内修复--超过了标准时限。不过,GitHub用户现在会很高兴地知道,这个安全漏洞终于被填补了。

该安全漏洞源自GitHub Actions中的工作流命令,它作为执行动作和Action Runner之间的通信渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初报告了这个安全漏洞,他表示工作流命令的实现方式 "从根本上来说是不安全的"。短期的解决方案是废止命令语法,而长期的修复方法是将工作流命令转移到一些外链通道,但这也很棘手,因为这会破坏依赖性代码。在GitHub未能在规定的104天内修复该问题后,谷歌于11月2日公开披露了该问题。

1548932283_github_story.jpg

显然,这给该公司带来了一定的压力,目前该漏洞已经被修复。补丁说明显示,该修复方法与Wilhelm提出的短期解决方案一致。

停用add-path和set-env runner命令(#779)

更新了dotnet安装脚本(#779)

几天前,GitHub已经修复了这个问题,但现在已经被谷歌Project Zero团队验证,并在问题库中标记。这样一来,安全团队报告的公开问题清单就减少到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关,但这一 "中等"严重性缺陷的状态自2016年9月以来一直处于开放状态。

【编辑推荐】

  1. 看了这么多代码,谈一谈代码风格!
  2. 鲲鹏凌云 智耀长安 | 陕西鲲鹏生态创新中心喊企业开发者“上课啦”!
  3. GitHub CEO霸气回应:「千年数字版权法」不适用,把youtube-dl还给开发者!
  4. 致命错误!Python开发者的7个崩溃瞬间
  5. 代码不止|想制胜海外市场?Google 来帮你!
【责任编辑:张燕妮 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月获赞

订阅专栏+更多

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

29人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

193人订阅学习

搭建数据中心实验Lab

搭建数据中心实验Lab

实验平台Datacenter
共5章 | ITGO(老曾)

119人订阅学习

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微