好看的电视剧,好看的历史书籍推荐,盗墓笔记txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

Github現(xiàn)高危漏洞，不少項(xiàng)目都暴露在潛在危險(xiǎn)中

Github被發(fā)現(xiàn)存在一個(gè)高危漏洞，基本上所有擁有復(fù)雜Github Actions的項(xiàng)目都容易被攻擊。這個(gè)CVE代號(hào)為CVE-2020-15228的漏洞是由Google旗下著名的Project Zero網(wǎng)絡(luò)安全團(tuán)隊(duì)在7月份時(shí)發(fā)現(xiàn)的。由于Project Zero之前改變了其對(duì)于公布漏洞的政策，因此他們給了Github整整90天的時(shí)間去修復(fù)這個(gè)漏洞。Github其后在10月份時(shí)棄用了易受攻擊的指令，并且也使用戶發(fā)出了安全警示提醒他們要盡快更新工作流。而在10月中的時(shí)候，Project Zero又給予了Github額外14天的寬限期。就在這個(gè)限期屆滿前，Github向Project Zero申請(qǐng)延長限期48小時(shí)來通知更多的用戶以及決定甚么時(shí)候可以修好這個(gè)漏洞。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊、網(wǎng)站空間、營銷軟件、網(wǎng)站建設(shè)、吳中網(wǎng)站維護(hù)、網(wǎng)站推廣。

CV-2020-15228是一個(gè)代碼注入攻擊，而Github Actions中的各種工作流指令是極為容易受到這類攻擊。這些指令是在執(zhí)行動(dòng)作以及Action Runner中的溝通渠道存在的。Google高級(jí)信息安全工程師Felix Wilhem在一份Project Zero的報(bào)告中表示：

“這個(gè)功能(工作流指令)的最大問題在于它極易受到代碼注入攻擊。當(dāng)運(yùn)行程序在解析STDOUT上的每一行文字嘗試尋找工作流指令時(shí)，所有列出未受信任內(nèi)容所為執(zhí)行的一部分的Github動(dòng)作都很容易被攻擊。在大多數(shù)情況下，可設(shè)置任意環(huán)境變量這個(gè)特性，只要當(dāng)另一個(gè)工作流在執(zhí)行后，最終都很有可能會(huì)被用作遠(yuǎn)程執(zhí)行代碼。我花了些時(shí)間在Github的存儲(chǔ)庫中檢查，發(fā)現(xiàn)只要是有點(diǎn)復(fù)雜的Github動(dòng)作都容易被攻擊?！?/p>

Felix Wilhem還表示，Github要修復(fù)這個(gè)漏洞會(huì)是比較困難的，因?yàn)楣ぷ髁髦噶畹膶?shí)現(xiàn)方式從根本上來說是不安全的，棄用那些部分指令只是一個(gè)臨時(shí)的解決方法，要徹底修復(fù)就需要把工作流指令移動(dòng)到其他地方，雖然這樣做會(huì)破壞掉某些依賴其的代碼。

當(dāng)前名稱：Github現(xiàn)高危漏洞，不少項(xiàng)目都暴露在潛在危險(xiǎn)中
文章轉(zhuǎn)載：http://fisionsoft.com.cn/article/cdsophd.html

新聞中心

其他資訊