成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

GitHub Actions安全漏洞可使攻擊者繞過代碼審查機(jī)制 影響受保護(hù)分支

ccj659 / 3292人閱讀

摘要:危及用戶賬戶的攻擊者,或者只是想繞過這一限制的開發(fā)人員,可以簡(jiǎn)單地將代碼推送到受保護(hù)的分支。表示他們會(huì)努力修復(fù)此安全漏洞。安全漏洞將軟件置于危險(xiǎn)之中。

Cider Security的研究人員在GitHub Actions中發(fā)現(xiàn)了一個(gè)安全漏洞,該漏洞允許攻擊者繞過必要的審查機(jī)制,將未審查的代碼推到受保護(hù)的分支,使其進(jìn)入生產(chǎn)管道。

根據(jù)Medium上的一篇博客文章,首席安全研究員Omer Gil和他在Cider security(一家專注于持續(xù)集成/持續(xù)交付安全的初創(chuàng)公司)的研究團(tuán)隊(duì)發(fā)現(xiàn)了這個(gè)安全漏洞,這是他們研究DevOps中新型攻擊的一部分。

Gil稱,要求審查是GitHub中最廣泛使用的安全機(jī)制之一,由于GitHub Actions是默認(rèn)安裝的,幾乎任何組織都容易受到這種攻擊。

“危及GitHub用戶賬戶的攻擊者,或者只是想繞過這一限制的開發(fā)人員,可以簡(jiǎn)單地將代碼推送到受保護(hù)的分支。由于受保護(hù)分支中的代碼通常由許多用戶或其他系統(tǒng)在生產(chǎn)系統(tǒng)中使用,因此影響很大,”Gil指出。

GitHub是一個(gè)為協(xié)作而設(shè)計(jì)的軟件開發(fā)和版本控制平臺(tái),為數(shù)百萬用戶和公司提供服務(wù),他們使用它來托管他們的代碼庫(kù)——用于構(gòu)建特定軟件系統(tǒng)、應(yīng)用程序或軟件組件的源代碼集合。

GitHub的發(fā)言人目前沒有透露更多細(xì)節(jié)。

攻擊分析

GitHub Actions是GitHub的持續(xù)集成/持續(xù)交付產(chǎn)品,它可以在您的存儲(chǔ)庫(kù)中自動(dòng)執(zhí)行、自定義和執(zhí)行從開發(fā)到生產(chǎn)系統(tǒng)的軟件開發(fā)工作流程。

研究人員表示,GitHub Actions 默認(rèn)安裝在任何 GitHub 組織及其所有存儲(chǔ)庫(kù)上,任何具有將代碼推送到存儲(chǔ)庫(kù)的寫入權(quán)限的用戶都可以創(chuàng)建一個(gè)在推送代碼時(shí)運(yùn)行的工作流。

“在每個(gè)工作流運(yùn)行時(shí),GitHub 都會(huì)創(chuàng)建一個(gè)唯一的GitHub令牌 (GITHUB_TOKEN) 以在工作流中使用以針對(duì)存儲(chǔ)庫(kù)進(jìn)行身份驗(yàn)證。這些權(quán)限具有默認(rèn)設(shè)置,在組織或存儲(chǔ)庫(kù)級(jí)別設(shè)置。該設(shè)置允許授予該令牌有限的權(quán)限——內(nèi)容和元數(shù)據(jù)范圍的讀權(quán)限,或許可的權(quán)限——內(nèi)容、包和拉取請(qǐng)求等各種范圍的讀/寫權(quán)限?!毖芯咳藛T指出。

然而,研究人員指出,任何對(duì)存儲(chǔ)庫(kù)具有寫訪問權(quán)限的用戶都可以修改授予令牌的權(quán)限,并且可以根據(jù)需要通過操作工作流文件中的權(quán)限密鑰來添加或刪除訪問權(quán)限。

如果攻擊者劫持了用戶帳戶,他們可以通過創(chuàng)建拉取請(qǐng)求將代碼推送到受保護(hù)的分支,意圖將其惡意代碼合并到受保護(hù)的分支。

拉取請(qǐng)求允許用戶告訴其他人他們已推送到 GitHub 上存儲(chǔ)庫(kù)中的分支的更改。

GitHub 網(wǎng)站解釋說,一旦 PR 打開,用戶就可以與合作者討論和審查潛在的更改,并在將更改合并到基本分支之前添加后續(xù)提交工作。

“因?yàn)樾枰獙徟琍R創(chuàng)建后無法合并。但是,工作流立即運(yùn)行,并且PR由github-actions機(jī)器人(GITHUB_TOKEN所屬的機(jī)器人)批準(zhǔn)。它不是組織成員,但算作PR批準(zhǔn),并有效地允許攻擊者批準(zhǔn)他們自己的 PR,基本上繞過分支保護(hù)規(guī)則,結(jié)果將代碼推送到受保護(hù)的分支,而無需任何其他組織成員的批準(zhǔn),”研究人員指出。

組織所有者可以設(shè)置分支保護(hù)規(guī)則,在合并之前要求拉請(qǐng)求批準(zhǔn),而用戶不能批準(zhǔn)自己的拉請(qǐng)求。

如何緩解

Gil表示,沒有跡象表明這個(gè)問題是否被利用,但建議GitHub所有者在沒有使用的情況下禁用GitHub Actions。這個(gè)問題可以通過需要代碼所有者的批準(zhǔn)來解決,或者需要兩個(gè)或更多的批準(zhǔn)來合并一個(gè)拉取請(qǐng)求。

GitHub表示他們會(huì)努力修復(fù)此安全漏洞。攻擊者肯定可以利用這個(gè)問題,試圖進(jìn)入生產(chǎn)系統(tǒng),擴(kuò)大對(duì)受害者資產(chǎn)的控制。吉爾指出。

安全漏洞將軟件置于危險(xiǎn)之中。數(shù)據(jù)顯示,90%的網(wǎng)絡(luò)安全事件和軟件漏洞被利用有關(guān),在軟件開發(fā)期間通過靜態(tài)代碼檢測(cè)技術(shù)可以幫助開發(fā)人員減少30%-70%的安全漏洞,大大提高軟件安全性。當(dāng)前,通過提高軟件自身安全性以確保網(wǎng)絡(luò)安全,已成為繼傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)軟件之后的又一有效手段。

參讀鏈接:

www.inforisktoday.com/flaws-in-gi…

文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/122647.html

相關(guān)文章

  • 企業(yè)組織面臨12大頂級(jí)云計(jì)算安全威脅

    摘要:在上周召開的會(huì)議上,云安全聯(lián)盟列出的,即企業(yè)組織在年將面臨的大頂級(jí)云計(jì)算安全威脅。當(dāng)發(fā)生數(shù)據(jù)泄露事故時(shí),企業(yè)組織可能會(huì)被罰款,他們甚至可能會(huì)面臨訴訟或刑事指控。糟糕的接口和或?qū)⒈┞冻銎髽I(yè)組織在保密性完整性可用性和問責(zé)制方面的安全問題?! ∑髽I(yè)組織在信息化辦公環(huán)境中,在網(wǎng)絡(luò)中進(jìn)行辦公及數(shù)據(jù)傳輸?shù)臐撛谖kU(xiǎn)正在加大,有必要對(duì)數(shù)據(jù)安全進(jìn)行防范。在上周召開的RSA會(huì)議上,CSA(云安全聯(lián)盟)列出的Tr...

    cppowboy 評(píng)論0 收藏0

  • 未修補(bǔ)的高危漏洞影響Apple mac OS計(jì)算機(jī) 可使惡意文件繞過檢查

    摘要:盡管新版已經(jīng)阻止了前綴,但只要將協(xié)議更改為或就可以利用該漏洞有效地繞過檢查。目前已將此問題告知蘋果公司。目前,該漏洞尚未修補(bǔ)。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body h1,...

    番茄西紅柿 評(píng)論0 收藏2637

  • Zoom漏洞可使擊者攔截?cái)?shù)據(jù)攻擊客戶基礎(chǔ)設(shè)施

    摘要:云視頻會(huì)議提供商發(fā)布了針對(duì)其產(chǎn)品中多個(gè)漏洞的補(bǔ)丁,這些漏洞可能讓犯罪分子竊取會(huì)議數(shù)據(jù)并攻擊客戶基礎(chǔ)設(shè)施。研究人員表示,這些漏洞使得攻擊者可以輸入命令來執(zhí)行攻擊,從而以最大權(quán)限獲得服務(wù)器訪問權(quán)。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hid...

    morgan 評(píng)論0 收藏0

  • TensorFlow 刪除 YAML 支持,建議 JSON 作為替補(bǔ)方案!

    摘要:據(jù)公告稱,和的包裝庫(kù)使用了不安全的函數(shù)來反序列化編碼的機(jī)器學(xué)習(xí)模型。簡(jiǎn)單來看,序列化將對(duì)象轉(zhuǎn)換為字節(jié)流。據(jù)悉,本次漏洞影響與版本,的到版本均受影響。作為解決方案,在宣布棄用之后,團(tuán)隊(duì)建議開發(fā)者以替代序列化,或使用序列化作為替代。 ...

    BlackFlagBin 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<