Google dévoile un bug “grave” sur la plateforme Github

Spread the love
  • Yum

Google dévoile un bug

Google Project Zero, l’équipe de sécurité de Google qui trouve des bugs dans les logiciels populaires, a révélé ce qu’elle considère comme une faille très grave sur GitHub. Cette publication intervient alors que le site d’hébergement de code a demandé une double prolongation du délai normal de divulgation de 90 jours.

Le bug affecte la fonctionnalité Actions de GitHub, un outil d’automatisation du travail des développeurs. Celle ci est devenue l’une des rares vulnérabilités n’ayant pas été correctement corrigée avant l’expiration du délai standard de 90 jours donné par Google Project Zero (GPZ). Plus de 95,8% des failles sont corrigées dans ce délai, selon Google.

publicité

Comme l’explique Felix Wilhelm, de l’équipe Project Zero, dans le calendrier de divulgation , l’équipe de sécurité de Google a signalé le problème à la sécurité de GitHub le 21 juillet et la date de divulgation a été fixée au 18 octobre.

Selon Wilhelm, les commandes de flux de travail d’Actions sont “vulnérables aux attaques par injection”.

“Comme le processus du runner analyse chaque ligne imprimée vers STDOUT à la recherche de commandes de flux de travail, chaque action GitHub qui contient un contenu non fiable dans le cadre de son exécution est vulnérable. Dans la plupart des cas, la possibilité de définir des variables d’environnement arbitraires entraîne l’exécution de code à distance dès qu’un autre flux de travail est exécuté”, a écrit Wilhelm.

“J’ai passé un certain temps à regarder les dépôts GitHub populaires et presque tout projet utilisant des actions GitHub un peu complexes est vulnérable à cette classe de bug.”

GitHub a publié un avis le 1er octobre et a déprécié les commandes vulnérables, mais a soutenu que ce que Wilhelm avait trouvé était en fait une “vulnérabilité de sécurité modérée”. GitHub a attribué au bug l’identifiant CVE-2020-15228.

Le 12 octobre, Project Zero a contacté GitHub et lui a offert de manière proactive un délai de 14 jours si GitHub voulait plus de temps pour désactiver les commandes vulnérables, selon Wilhelm.

GitHub a accepté l’offre, et la société espérait désactiver les commandes vulnérables après le 19 octobre. Project Zero a alors fixé la nouvelle date de divulgation au 2 novembre.

Puis, le 28 octobre, Project Zero a indiqué à GitHub que le délai expirait la semaine suivante, mais n’a reçu aucune réponse.

En l’absence de réponse officielle de GitHub, les membres de Project Zero ont contacté des employés de GitHub qui ont déclaré que “la question est considérée comme réglée et que [Project Zero] pouvait rendre le bug public le 2020-11-02 comme prévu”, a expliqué Wilhelm.

Mais un jour avant la date limite, GitHub a envoyé sa réponse officielle et a demandé deux jours supplémentaires pour informer les clients d’un correctif à une date ultérieure.

“GitHub répond et mentionne qu’ils ne désactiveront pas les commandes vulnérables d’ici le 2020-11-02. Ils demandent un délai supplémentaire de 48 heures, non pas pour résoudre le problème, mais pour informer les clients et fixer une date précise dans le futur”, a écrit Wilhelm.

Project Zero a donc procédé lundi à la divulgation du bug qu’il a signalé car il ne peut, selon sa politique, offrir une prolongation au-delà de 104 jours, 90 jours de base et 14 jours de grâce.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: