Google révèle une importante faille de sécurité dans GitHub

Elle a été découverte le 21 juillet, ouvrant une fenêtre de 90 jours après avertissement de GitHub. Ce dernier a demandé une extension de 14 jours, portant la limite au 2 novembre. La faille étant toujours présente, Google en publie donc les détails.

Elle réside dans la manière dont le service gère les commandes de flux de travail. Selon l’équipe du Project Zero, le fonctionnement de ces commandes est « fondamentalement dangereux ». Ce qui explique sans doute pourquoi la brèche n’est pas colmatée.

Ces commandes agissent comme un canal de communication entre les actions à exécuter et l’Action Runner. Puisque ce dernier analyse (parse) chaque ligne présente dans STDOUT, toute action comportant du contenu non fiable est vulnérable. En clair, le canal est sensible aux attaques par injection.

Le fait est que Google ignore comment GitHub peut se dépêtrer de cette situation, car il faudrait revoir intégralement le fonctionnement des commandes, ce qui casserait immanquablement la compatibilité avec le code en ayant besoin.

Le 1er octobre, GitHub a fait parvenir un message aux développeurs, pour les avertir que les commandes vulnérables allaient être dépréciées et qu’il fallait mettre à jour les flux de travail. L’éditeur y évoquait une vulnérabilité de dangerosité « modérée ». On attend toujours une date fixe, ce d’autant plus que les détails de la faille sont maintenant publics.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !