GitHub Actions 被曝存在嚴(yán)重安全漏洞，Google Project Zero 披露詳情

技術(shù)編輯：芒果果丨發(fā)自 思否編輯部
公眾號(hào)：SegmentFault

---

對(duì)開(kāi)發(fā)者來(lái)說(shuō)，在 GitHub 上創(chuàng)建了一個(gè)項(xiàng)目準(zhǔn)備運(yùn)行，并不代表這個(gè)項(xiàng)目已經(jīng)真正完成了，還有很多部署測(cè)試工作需要手動(dòng)操作。

GitHub 的 Action 功能可以簡(jiǎn)化這一步，對(duì)項(xiàng)目的代碼進(jìn)行自動(dòng)化的測(cè)試，現(xiàn)在已經(jīng)有很多人使用它來(lái)持續(xù)集成/連續(xù)部署（CI/CD），但最近 Actions 中被發(fā)現(xiàn)隱藏了一個(gè)安全漏洞。

Google Project Zero 的研究人員發(fā)現(xiàn)，GitHub Action 的一個(gè)設(shè)計(jì)缺陷可以使黑客能夠?qū)懭腴_(kāi)發(fā)者的存儲(chǔ)庫(kù)，甚至可以顯示加密的機(jī)密文件。

---

GitHub Actions 中存在嚴(yán)重安全漏洞

Google Project Zero 研究員 Felix Wilhelm 發(fā)現(xiàn)，GitHub Actions 工作流命令功能充當(dāng) Action Runner 和執(zhí)行的動(dòng)作之間的通信渠道。這意味著工作流命令通過(guò)解析所有已執(zhí)行操作的 STDOUT 來(lái)工作，STDOUT 攜帶的那些命令之一是“set-env”。

Set-env 可以將任意環(huán)境變量定義為工作流的一部分，極易受到注入攻擊。當(dāng)運(yùn)行程序解析每個(gè) STDOUT 行以查找工作流命令時(shí)，每個(gè)“在執(zhí)行過(guò)程中打印不受信任的內(nèi)容的 Github Action 都將受到攻擊”。

Felix Wilhelm 研究了一些受歡迎的 Github 存儲(chǔ)庫(kù)，他發(fā)現(xiàn)幾乎所有具有某些復(fù)雜 GitHub Actions 的項(xiàng)目都可能受到攻擊，即使 Github 自身的行為也容易受到此問(wèn)題的影響。

---

Google Project Zero 早已向 GitHub 通報(bào)此漏洞

據(jù)了解，Google Project Zero 在為 GitHub 提供的 90 天修復(fù)期的基礎(chǔ)上還將這個(gè)時(shí)間延長(zhǎng)了 14 天，在 GitHub 再次提出延長(zhǎng)寬限期后，Google Project Zero 拒絕了這個(gè)請(qǐng)求，并披露了漏洞的詳細(xì)情況。

Google Project Zero 是谷歌于 2014 年宣布的互聯(lián)網(wǎng)安全項(xiàng)目，整個(gè)團(tuán)隊(duì)由谷歌內(nèi)部頂尖的安全工程師組成，發(fā)現(xiàn)、跟蹤和修復(fù)尚未被公開(kāi)的軟件安全漏洞。

Google Project Zero 所處理的安全漏洞通常都屬于“零日漏洞”，此類安全漏洞通常都尚未被公開(kāi)，用戶不能在第一時(shí)間對(duì)其進(jìn)行修復(fù)。為了阻止黑客利用零日漏洞發(fā)起攻擊，谷歌推出了 Project Zero 計(jì)劃。

據(jù)了解，Google Project Zero 發(fā)現(xiàn)漏洞后會(huì)首先與受影響的機(jī)構(gòu)聯(lián)系，給出 90 天的修復(fù)期，漏洞修復(fù)完成后才會(huì)公開(kāi)相關(guān)信息。今年 7 月，Project Zero 團(tuán)隊(duì)已向 GitHub 發(fā)出了漏洞警告。

---

GitHub Action 中隱藏著更多麻煩

Felix Wilhelm 坦言，隱藏在GitHub Action工作流命令中可能會(huì)遇到更多麻煩，他承認(rèn)他沒(méi)有考慮其他工作區(qū)命令的安全影響。

Felix Wilhelm 認(rèn)為，“實(shí)現(xiàn)工作流命令的方式根本上是不安全的。廢除 v1命令語(yǔ)法并使用 allowlist 加強(qiáng) set-env 可能不利于直接的 RCE [遠(yuǎn)程代碼執(zhí)行]向量。然而，即使能夠覆蓋后面步驟使用的‘正?！h(huán)境變量，也可能足以利用最復(fù)雜的操作。”

當(dāng)然，也有一勞永逸解決這個(gè)問(wèn)題的方法。Felix Wilhelm 建議將工作流命令移動(dòng)到某個(gè)不受約束的通道（例如一個(gè)新的文件描述符），以避免解析 STDOUT。但這樣做也存在一個(gè)小問(wèn)題，它會(huì)破壞許多現(xiàn)有的代碼操作。

GitHub 的開(kāi)發(fā)人員正在從 Runner 中刪除兩個(gè)最易受攻擊的命令。未來(lái) Runner 將發(fā)布一個(gè)更新，該更新將會(huì)禁用 set-env 和 add-path 工作流命令。

同時(shí)，GitHub 建議開(kāi)發(fā)者“應(yīng)該升級(jí)到 @actions/core v1.2.6 或更高版本，并用新的 Environment File Syntax 替換工作流中的 set-env 或 add-path 命令的任何實(shí)例?！?/span>

如果繼續(xù)使用舊命令或舊工具包版本的工作流和操作，那么 GitHub 會(huì)發(fā)出警告，如果繼續(xù)嘗試使用舊的不安全命令，工作流執(zhí)行過(guò)程將會(huì)出錯(cuò)。

就像安全問(wèn)題經(jīng)常發(fā)生的那樣，是時(shí)候開(kāi)始修補(bǔ)和清理代碼了。開(kāi)發(fā)人員的安全工作永遠(yuǎn)不會(huì)完成…...

---

-?END -