Google Project Zero宣布GitHub出现严重漏洞

Google Project Zero小组（致力于发现安全漏洞）昨天公开了一个在GitHub上发现的“严重程度较高”的漏洞。自7月下旬以来，GitHub没有解决问题，因此要求更多时间。

“没有办法进一步延长期限，因为这已经是第104天(90天+延长期限14天)，而没有解决方案;问题将在今天宣布。”

据报告该问题的GPZ工程师Felix Wilhelm所说，该缺陷存在于称为工作流命令的功能中，该功能可自动执行与工作流相关的操作：“此功能极易受命令注入的影响，并且从根本上讲是不安全的，因为它将允许黑客在易受攻击的计算机上远程执行代码。”

GitHub是Microsoft维护的流行的版本控制系统和源代码存储库，供世界各地的开发人员和公司使用，这使该错误更加严重：“我分析了GitHub存储库，其中最受欢迎的是GitHub操作有些复杂的所有项目都容易受到此类错误的影响。”

该平台已在7月21日收到该漏洞的通知，并且按照GPZ标准，已为90天(至10月18日)给予了修复;在那之后，故障被发现。Github随后停用了易受攻击的命令，并向用户发送了警报，称该漏洞的严重性为“中等”，并建议更新工作流程。

在截止日期的前两天，GPZ又给了Github 14天以禁用所有命令;上一个星期日(1)，该平台又要求“通知客户有关问题并设置纠正期限”两天。GPZ拒绝并公开了该故障。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!