Github Perbaiki Bug Widespread Injection Atas Temuan Tim Project Zero Google

Github Perbaiki Bug Widespread Injection Atas Temuan Tim Project Zero Google

cve-2020-15228-widespread-injection

Peneliti keamanan Project Zero Google berhasil mengidentifikasi terkait masalah (bug) pada Github Action sebagai saluran komunikasi antara tindakan dan eksekusi perintah. Pengungkapan kerentanan ini di klasifikasikan sebagai label CVE-2020-15228 dengan issue permasalahan Widespread Injection in Action Runner.

Laporan insiden kerentanan ini sudah dilaporkan sejak tanggal 21 Juli 2020 dan Google memberikan masa tenggang 90 hari bagi Github untuk melakukan perbaikan sebelum kerentanan tersebut di publikasikan ke publik. Pada awal Oktober, Github menyatakan bahwa level kerentanan itu adalah sedang. Github menerima informasi kembali, bahwa masa tenggang ditambahkan lagi hingga 2 November.

"Masalah besar dengan fitur ini adalah sangat rentan terhadap serangan injeksi. Setiap tindakan yang dicetak ke STDOUT akan mencari alur kerja sendirinya. Di sisi lain, kemampuan melakukan penyetelan variabel di lingkungan arbiter akan menyebabkan serangan Remote Code Execution." tulis Felix Wilhelm, Tim Project Zero Google.


"Saya tidak yakin bagaimana cara terbaik untuk mengatasi masalah besar ini dan pada dasarnya perintah alur kerja tersebut tidak aman. Perpindahan alur kerja dari STDOUT ke tempat deskriptor baru kemungkin nanti akan mendapatkan masalah baru. Namun, penambalan tersebut tergantung pada bahasa pemrograman apa yang digunakan." tambah Felix Wilhelm.

Awal November, Github belum juga memperbaiki kerentanan Widespread Injection. Alhasil, Google mengungkapkan masalah ini secara publik di repositori chromium. Namun, setelah kurun waktu 104 hari dari masa tenggang bulan Juli, Github berhasil melakukan perbaikan dan pembaruan.

Anda mungkin menyukai postingan ini