成人无码视频,亚洲精品久久久久av无码,午夜精品久久久久久毛片,亚洲 中文字幕 日韩 无码

資訊專欄INFORMATION COLUMN

GitHub Actions安全漏洞可使攻擊者繞過代碼審查機(jī)制 影響受保護(hù)分支

ccj659 / 3370人閱讀

摘要:危及用戶賬戶的攻擊者,或者只是想繞過這一限制的開發(fā)人員,可以簡單地將代碼推送到受保護(hù)的分支。表示他們會努力修復(fù)此安全漏洞。安全漏洞將軟件置于危險之中。

Cider Security的研究人員在GitHub Actions中發(fā)現(xiàn)了一個安全漏洞,該漏洞允許攻擊者繞過必要的審查機(jī)制,將未審查的代碼推到受保護(hù)的分支,使其進(jìn)入生產(chǎn)管道。

根據(jù)Medium上的一篇博客文章,首席安全研究員Omer Gil和他在Cider security(一家專注于持續(xù)集成/持續(xù)交付安全的初創(chuàng)公司)的研究團(tuán)隊發(fā)現(xiàn)了這個安全漏洞,這是他們研究DevOps中新型攻擊的一部分。

Gil稱,要求審查是GitHub中最廣泛使用的安全機(jī)制之一,由于GitHub Actions是默認(rèn)安裝的,幾乎任何組織都容易受到這種攻擊。

“危及GitHub用戶賬戶的攻擊者,或者只是想繞過這一限制的開發(fā)人員,可以簡單地將代碼推送到受保護(hù)的分支。由于受保護(hù)分支中的代碼通常由許多用戶或其他系統(tǒng)在生產(chǎn)系統(tǒng)中使用,因此影響很大,”Gil指出。

GitHub是一個為協(xié)作而設(shè)計的軟件開發(fā)和版本控制平臺,為數(shù)百萬用戶和公司提供服務(wù),他們使用它來托管他們的代碼庫——用于構(gòu)建特定軟件系統(tǒng)、應(yīng)用程序或軟件組件的源代碼集合。

GitHub的發(fā)言人目前沒有透露更多細(xì)節(jié)。

攻擊分析

GitHub Actions是GitHub的持續(xù)集成/持續(xù)交付產(chǎn)品,它可以在您的存儲庫中自動執(zhí)行、自定義和執(zhí)行從開發(fā)到生產(chǎn)系統(tǒng)的軟件開發(fā)工作流程。

研究人員表示,GitHub Actions 默認(rèn)安裝在任何 GitHub 組織及其所有存儲庫上,任何具有將代碼推送到存儲庫的寫入權(quán)限的用戶都可以創(chuàng)建一個在推送代碼時運行的工作流。

“在每個工作流運行時,GitHub 都會創(chuàng)建一個唯一的GitHub令牌 (GITHUB_TOKEN) 以在工作流中使用以針對存儲庫進(jìn)行身份驗證。這些權(quán)限具有默認(rèn)設(shè)置,在組織或存儲庫級別設(shè)置。該設(shè)置允許授予該令牌有限的權(quán)限——內(nèi)容和元數(shù)據(jù)范圍的讀權(quán)限,或許可的權(quán)限——內(nèi)容、包和拉取請求等各種范圍的讀/寫權(quán)限?!毖芯咳藛T指出。

然而,研究人員指出,任何對存儲庫具有寫訪問權(quán)限的用戶都可以修改授予令牌的權(quán)限,并且可以根據(jù)需要通過操作工作流文件中的權(quán)限密鑰來添加或刪除訪問權(quán)限。

如果攻擊者劫持了用戶帳戶,他們可以通過創(chuàng)建拉取請求將代碼推送到受保護(hù)的分支,意圖將其惡意代碼合并到受保護(hù)的分支。

拉取請求允許用戶告訴其他人他們已推送到 GitHub 上存儲庫中的分支的更改。

GitHub 網(wǎng)站解釋說,一旦 PR 打開,用戶就可以與合作者討論和審查潛在的更改,并在將更改合并到基本分支之前添加后續(xù)提交工作。

“因為需要審批,PR創(chuàng)建后無法合并。但是,工作流立即運行,并且PR由github-actions機(jī)器人(GITHUB_TOKEN所屬的機(jī)器人)批準(zhǔn)。它不是組織成員,但算作PR批準(zhǔn),并有效地允許攻擊者批準(zhǔn)他們自己的 PR,基本上繞過分支保護(hù)規(guī)則,結(jié)果將代碼推送到受保護(hù)的分支,而無需任何其他組織成員的批準(zhǔn),”研究人員指出。

組織所有者可以設(shè)置分支保護(hù)規(guī)則,在合并之前要求拉請求批準(zhǔn),而用戶不能批準(zhǔn)自己的拉請求。

如何緩解

Gil表示,沒有跡象表明這個問題是否被利用,但建議GitHub所有者在沒有使用的情況下禁用GitHub Actions。這個問題可以通過需要代碼所有者的批準(zhǔn)來解決,或者需要兩個或更多的批準(zhǔn)來合并一個拉取請求。

GitHub表示他們會努力修復(fù)此安全漏洞。攻擊者肯定可以利用這個問題,試圖進(jìn)入生產(chǎn)系統(tǒng),擴(kuò)大對受害者資產(chǎn)的控制。吉爾指出。

安全漏洞將軟件置于危險之中。數(shù)據(jù)顯示,90%的網(wǎng)絡(luò)安全事件和軟件漏洞被利用有關(guān),在軟件開發(fā)期間通過靜態(tài)代碼檢測技術(shù)可以幫助開發(fā)人員減少30%-70%的安全漏洞,大大提高軟件安全性。當(dāng)前,通過提高軟件自身安全性以確保網(wǎng)絡(luò)安全,已成為繼傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)軟件之后的又一有效手段。

參讀鏈接:

www.inforisktoday.com/flaws-in-gi…

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/122647.html

相關(guān)文章

  • 企業(yè)組織面臨12大頂級云計算安全威脅

    摘要:在上周召開的會議上,云安全聯(lián)盟列出的,即企業(yè)組織在年將面臨的大頂級云計算安全威脅。當(dāng)發(fā)生數(shù)據(jù)泄露事故時,企業(yè)組織可能會被罰款,他們甚至可能會面臨訴訟或刑事指控。糟糕的接口和或?qū)⒈┞冻銎髽I(yè)組織在保密性完整性可用性和問責(zé)制方面的安全問題?! ∑髽I(yè)組織在信息化辦公環(huán)境中,在網(wǎng)絡(luò)中進(jìn)行辦公及數(shù)據(jù)傳輸?shù)臐撛谖kU正在加大,有必要對數(shù)據(jù)安全進(jìn)行防范。在上周召開的RSA會議上,CSA(云安全聯(lián)盟)列出的Tr...

    cppowboy 評論0 收藏0

  • 未修補(bǔ)的高危漏洞影響Apple mac OS計算機(jī) 可使惡意文件繞過檢查

    摘要:盡管新版已經(jīng)阻止了前綴,但只要將協(xié)議更改為或就可以利用該漏洞有效地繞過檢查。目前已將此問題告知蘋果公司。目前,該漏洞尚未修補(bǔ)。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body h1,...

    番茄西紅柿 評論0 收藏2637

  • Zoom漏洞可使擊者攔截數(shù)據(jù)攻擊客戶基礎(chǔ)設(shè)施

    摘要:云視頻會議提供商發(fā)布了針對其產(chǎn)品中多個漏洞的補(bǔ)丁,這些漏洞可能讓犯罪分子竊取會議數(shù)據(jù)并攻擊客戶基礎(chǔ)設(shè)施。研究人員表示,這些漏洞使得攻擊者可以輸入命令來執(zhí)行攻擊,從而以最大權(quán)限獲得服務(wù)器訪問權(quán)。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hid...

    morgan 評論0 收藏0

  • TensorFlow 刪除 YAML 支持,建議 JSON 作為替補(bǔ)方案!

    摘要:據(jù)公告稱,和的包裝庫使用了不安全的函數(shù)來反序列化編碼的機(jī)器學(xué)習(xí)模型。簡單來看,序列化將對象轉(zhuǎn)換為字節(jié)流。據(jù)悉,本次漏洞影響與版本,的到版本均受影響。作為解決方案,在宣布棄用之后,團(tuán)隊建議開發(fā)者以替代序列化,或使用序列化作為替代。 ...

    BlackFlagBin 評論0 收藏0

發(fā)表評論

0條評論

閱讀需要支付1元查看
<