Το Google Project Zero, η ομάδα ασφαλείας της Google που εντοπίζει σφάλματα σε δημοφιλή λογισμικά, αποκάλυψε μια εξαιρετικά σοβαρή ευπάθεια στο GitHub, αφού η πλατφόρμα δεν ανταποκρίθηκε έγκαιρα και δεν τη διόρθωσε. Οι ερευνητές είχαν ενημερώσει το code-hosting site για την ευπάθεια, αλλά αυτό δεν διόρθωσε το ζήτημα ασφαλείας μέσα στις 90 ημέρες (+) που ήταν η προθεσμία. Αντ’ αυτού ζήτησε περισσότερο χρόνο.
Το σφάλμα εντοπίζεται στη λειτουργία Actions του GitHub και ανήκει στις σπάνιες περιπτώσεις σφαλμάτων που δεν διορθώθηκαν μέσα στο καθορισμένο χρονικό πλαίσιο. Πάνω από το 95,8% των ευπαθειών διορθώνονται εντός της προθεσμίας, σύμφωνα με τους ερευνητές της Google.
Η ομάδα Google Project Zero είναι αυστηρή με την προθεσμία των 90 ημερών, αλλά φαίνεται ότι το GitHub δεν ανταποκρίθηκε άμεσα.
Όπως περιγράφεται λεπτομερώς από τον Felix Wilhelm της Google Project Zero, η ομάδα ασφαλείας της Google ανέφερε την ευπάθεια στο GitHub στις 21 Ιουλίου και ορίστηκε ως ημερομηνία αποκάλυψης η 18η Οκτωβρίου.
Σύμφωνα με τον ερευνητή, τα workflow commands του Actions είναι “εξαιρετικά ευάλωτα σε injection επιθέσεις“.
Το GitHub έδωσε κάποιες συμβουλές στους χρήστες–προγραμματιστές στις αρχές Οκτωβρίου και απενεργοποίησε κάποια ευάλωτα commands, αλλά υποστήριξε ότι η ευπάθεια που βρήκε ο Wilhelm ήταν στην πραγματικότητα μια “ευπάθεια μέτριας σοβαρότητας“. Το GitHub έδωσε στο σφάλμα το όνομα CVE-2020-15228.
Σύμφωνα με τον Wilhelm, στις 12 Οκτωβρίου, η ομάδα ασφαλείας της Google επικοινώνησε με το GitHub και προσέφερε άλλες 14 ημέρες, σε περίπτωση που το site ήθελε περισσότερο χρόνο για να λάβει τα απαραίτητα μέτρα.
Ο Wilhelm ήλπιζε ότι όλες οι ευάλωτες εντολές θα απενεργοποιούνταν μετά τις 19 Οκτωβρίου. Με αυτές τις extra μέρες, η Google έθεσε νέα ημερομηνία αποκάλυψης (2 Νοεμβρίου).
Στις 28 Οκτωβρίου, η Google Project Zero ειδοποίησε το GitHub ότι η προθεσμία έληγε την επόμενη εβδομάδα, αλλά δεν έλαβε απάντηση.
Λόγω της έλλειψης επίσημης απάντησης από το GitHub, το Project Zero επικοινώνησε ξανά μαζί του, άτυπα, και ενημέρωσε ότι αν δεν έχουν γίνει τα απαραίτητα μέχρι τη λήξη της προθεσμίας, η ομάδα θα προχωρήσει σε αποκάλυψη πληροφοριών για την ευπάθεια, στις 2 Νοεμβρίου, όπως ήταν προγραμματισμένο.
Μια ημέρα πριν τη λήξη της προθεσμίας, το GitHub έδωσε την επίσημη απάντησή του και ζήτησε άλλες δύο ημέρες για να ενημερώσει τους πελάτες για μια διόρθωση σε μελλοντική ημερομηνία.
“Το GitHub απαντά και αναφέρει ότι δεν θα απενεργοποιήσει τις ευάλωτες εντολές έως τις 2/11/2020. Ζητά επιπλέον 48 ώρες, όχι για να διορθώσει το πρόβλημα, αλλά για να ενημερώσει τους πελάτες και να καθορίσει μια ημερομηνία για διόρθωση κάποια στιγμή στο μέλλον“, έγραψε ο Wilhelm.
Έτσι, οι ερευνητές της Google αποκάλυψαν την ευπάθεια τη Δευτέρα 2 Νοεμβρίου, επειδή δεν μπορούσαν, με βάση την πολιτική της εταιρείας, να προσφέρουν άλλη παράταση (πέραν των 104 ημερών).
Πηγή: ZDNet