forum.opennet.ru - "Уязвимость в GitHub Actions, допускающая подстановку команд" (19)

"Уязвимость в GitHub Actions, допускающая подстановку команд"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GitHub Actions, допускающая подстановку команд"	+/–
Сообщение от opennews (??), 04-Ноя-20, 11:19
Компания Google раскрыла информацию о методе эксплуатации уязвимости (CVE-2020-15228) в механизме GitHub Actions, предназначенном для прикрепления обработчиков для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Уязвимость вызвана тем, что обмен командами между процессом запуска Action и запускаемым действием (Action) производится через стандартный поток (STDOUT) - Actions Runner парсит стандартный поток, формируемый в процессе выполнения действий, и выделяет в нём маркеры команд "##[command parameter1=data;]command-value..."... Подробнее: https://www.opennet.me/opennews/art.shtml?num=54023
Ответить \| Правка \| Cообщить модератору

Оглавление

Неделя гитхаба, все идет отлично , Аноним (1), 11:19 , 04-Ноя-20, (1) +17

Б-же, какое же лицемерие До покупки Майкрософтом свободное сообщество сочувст, Qwerty (??), 12:10 , 04-Ноя-20, (5) –1

Да всегда она дерьмо было, зачем тут скакать с кастрюльками на голове Изначальн, Аноним (9), 12:41 , 04-Ноя-20, (9)
Ну да, мы не любим Майкрософт, это не секрет Майки к этому приложили множество у, Аноним (10), 12:59 , 04-Ноя-20, (10) +1

Да всем с ть на вас Пожинают плоды они в виде собирания денег с таких лохопе, Аноним (11), 13:40 , 04-Ноя-20, (11) –6

с июля знали, подготовить к ноябрю не успели, отказ в ещё одной отсрочке получил, m.makhno (ok), 11:20 , 04-Ноя-20, (2) +3

Вероятнее всего, они чуть менее тyпые чем ты, и то, что они не успели выпустить , пох. (?), 12:27 , 04-Ноя-20, (7)

У Google на GitHub 2к реп - так оно им надо , m.makhno (ok), 12:39 , 04-Ноя-20, (8) +1

Так ведь не у гугля, а у рабов гугля - сам гугль свое никому не отдаст, у него в, пох. (?), 15:23 , 04-Ноя-20, (15) +1

Капец, GitHub разваливается на глазах Внукам буду рассказывать, как умирал круп, Иваня (?), 11:58 , 04-Ноя-20, (3) –1

Отставить панику, Иваня Всё идёт по плану Какому Одной M известно , m.makhno (ok), 12:08 , 04-Ноя-20, (4) –2
А ты уверен что он там есть Дешевая ПР акция какбы, Аноним (-), 15:05 , 04-Ноя-20, (14)

Успокойтесь уже Ну решила себя порекламтровать контора с ее руководством Ну др, Аноним (6), 12:13 , 04-Ноя-20, (6)
Чёт я не понял как и куда кто-то может подставить своё действие Если я использу, Аноним (12), 14:34 , 04-Ноя-20, (12) –1
Злоумышленник может написать любой код для PR Именно поэтому, нельзя билдить ка, Чума (?), 14:52 , 04-Ноя-20, (13)
Запрет на в issue title решило бы проблему , Аноним (16), 16:00 , 04-Ноя-20, (16)

для тех кто парсит issue title - решило бы Для тех кто парсит что-то другое - н, пох. (?), 18:55 , 04-Ноя-20, (17)

Славные ручки микрософт , Аноним (18), 22:47 , 04-Ноя-20, (18)
Здравствуй, дырявый unix-way Давненько на опеннете не писали про тупейшие ошибк, Ordu (ok), 00:19 , 05-Ноя-20, (19)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Ноя-20, 11:19 +17 +/–

Неделя гитхаба, все идет отлично.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

2. Сообщение от m.makhno (ok), 04-Ноя-20, 11:20 +3 +/–

с июля знали, подготовить к ноябрю не успели, отказ в ещё одной отсрочке получили, патч таки выпустили... лол

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

3. Сообщение от Иваня (?), 04-Ноя-20, 11:58 –1 +/–

Капец, GitHub разваливается на глазах! Внукам буду рассказывать, как умирал крупнейший архив open source. Такими темпами от GitHub останется только код в Арктике (см. GitHub Archive Program)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #14

4. Сообщение от m.makhno (ok), 04-Ноя-20, 12:08 –2 +/–

Отставить панику, Иваня. Всё идёт по плану. Какому? Одной M$ известно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Qwerty (??), 04-Ноя-20, 12:10 –1 +/–

Б-же, какое же лицемерие. До покупки Майкрософтом "свободное" сообщество сочувствовало или, в лучшем случае, не замечало, то после начинаются скакания и радостные вопли на любую проблему хорошей, в общем-то, системы, популярной во всём мире.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9, #10

6. Сообщение от Аноним (6), 04-Ноя-20, 12:13 +/–

Успокойтесь уже. Ну решила себя порекламтровать контора с ее руководством. Ну другие примчались в этом помогать. Так теперь нужно крик на весь рунет об этом поднимать?

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от пох. (?), 04-Ноя-20, 12:27 +/–

Вероятнее всего, они чуть менее тyпые чем ты, и то, что они не успели выпустить - не заключалось в блокировке намертво команд, на которые завязана куча работающих скриптов, с оставлением других потенциальных дыр, потому что иначе вообще все сломается, а предполагало более осторожное решение. Которое никакой google zero в клювике не принес, это работа, ее сделать надо.
Но гугловоды, разумеется, не могли упустить случая подгадить чужому проекту, тем более когда все формальные реверансы соблюдены и вроде как они не при делах.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8

8. Сообщение от m.makhno (ok), 04-Ноя-20, 12:39 +1 +/–

> гугловоды, разумеется, не могли упустить случая подгадить чужому проекту
У Google на GitHub 2к реп - так оно им надо?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15

9. Сообщение от Аноним (9), 04-Ноя-20, 12:41 +/–

Да всегда она дерьмо было, зачем тут скакать с кастрюльками на голове? Изначально надо было игнорировать и они бы быстро схлопнулись.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 04-Ноя-20, 12:59 +1 +/–

Ну да, мы не любим Майкрософт, это не секрет.
Майки к этому приложили множество усилий. Теперь пожинают плоды.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

11. Сообщение от Аноним (11), 04-Ноя-20, 13:40 –6 +/–

Да всем с....ть на вас. Пожинают плоды они в виде собирания денег с таких лохопедов как ты. То с гитхаба копеечку, то с азура.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (12), 04-Ноя-20, 14:34 –1 +/–

Чёт я не понял как и куда кто-то может подставить своё действие. Если я использую чужую action, она могла, может и всегда будет мочь сделать абсолютно что угодно в рамках запуска action, разве нет? Это вполне ожидаемо.
А вообще должен сказать что попробовал миграцию с Travis (который скурвился - время ожидания в очереди выросло до десятков часов, хотят чтобы пользователи мигрировали на travis.com с ограничениями, который запрашивает невменяемых доступов с полным r/w к репозиториям) на actions и очень доволен. CI на actions работает в разы быстрее, не требует выдачи доступов каким-то третьим сервисам, образы ubuntu там новее и лучше устроены с точки зрения свежего софта, например работабщий pg13 из коробки, сразу есть винда, что позволяет отказаться ещё и от yблюдского appveyor, и конфиг получается намного чище и гранулярнее. Всем советую.

Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Чума (?), 04-Ноя-20, 14:52 +/–

Злоумышленник может написать любой код для PR. Именно поэтому, нельзя билдить каждый PR от случайных людей.

Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Аноним (-), 04-Ноя-20, 15:05 +/–

> GitHub останется только код в Арктике
А ты уверен что он там есть ? Дешевая ПР акция какбы

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

15. Сообщение от пох. (?), 04-Ноя-20, 15:23 +1 +/–

Так ведь не у гугля, а у рабов гугля - сам гугль свое никому не отдаст, у него все в надежной внутренней заначке, на гитхабе лежат кости, кинутые забесплатно-нате-жрите (гугль, кстати, весьма разборчив в том, что выкидывать), все равно ненужно.
И даже если гитхап прям завтра сдохнет - гуглю от этого никакого особого расстройства. А рабы...ну в гитляп переедут, или еще куда.
А вот просто сделать пакость конкурирующей компании, раз она так подставилась - почему же ж нет.
Никакого другого смысла прождав пол-года не согласиться подождать еще пару недель - лично я не вижу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

16. Сообщение от Аноним (16), 04-Ноя-20, 16:00 +/–

Запрет на ## в issue.title решило бы проблему?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

17. Сообщение от пох. (?), 04-Ноя-20, 18:55 +/–

для тех кто парсит issue title - решило бы. Для тех кто парсит что-то другое - не решило бы.
Ибо нехрен мешать необработанные данные с кодом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

18. Сообщение от Аноним (18), 04-Ноя-20, 22:47 +/–

Славные ручки микрософт.

Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Ordu (ok), 05-Ноя-20, 00:19 +/–

Здравствуй, дырявый unix-way! Давненько на опеннете не писали про тупейшие ошибки вызываемые пайпами, переменными окружениями и дебильным способом передачи аргументов дочернему процессу.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 04-Ноя-20, 11:19	+17 +/–
Неделя гитхаба, все идет отлично.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5

2. Сообщение от m.makhno (ok), 04-Ноя-20, 11:20	+3 +/–
с июля знали, подготовить к ноябрю не успели, отказ в ещё одной отсрочке получили, патч таки выпустили... лол
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

3. Сообщение от Иваня (?), 04-Ноя-20, 11:58	–1 +/–
Капец, GitHub разваливается на глазах! Внукам буду рассказывать, как умирал крупнейший архив open source. Такими темпами от GitHub останется только код в Арктике (см. GitHub Archive Program)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #14

4. Сообщение от m.makhno (ok), 04-Ноя-20, 12:08	–2 +/–
Отставить панику, Иваня. Всё идёт по плану. Какому? Одной M$ известно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

5. Сообщение от Qwerty (??), 04-Ноя-20, 12:10	–1 +/–
Б-же, какое же лицемерие. До покупки Майкрософтом "свободное" сообщество сочувствовало или, в лучшем случае, не замечало, то после начинаются скакания и радостные вопли на любую проблему хорошей, в общем-то, системы, популярной во всём мире.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #9, #10

6. Сообщение от Аноним (6), 04-Ноя-20, 12:13	+/–
Успокойтесь уже. Ну решила себя порекламтровать контора с ее руководством. Ну другие примчались в этом помогать. Так теперь нужно крик на весь рунет об этом поднимать?
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от пох. (?), 04-Ноя-20, 12:27	+/–
Вероятнее всего, они чуть менее тyпые чем ты, и то, что они не успели выпустить - не заключалось в блокировке намертво команд, на которые завязана куча работающих скриптов, с оставлением других потенциальных дыр, потому что иначе вообще все сломается, а предполагало более осторожное решение. Которое никакой google zero в клювике не принес, это работа, ее сделать надо. Но гугловоды, разумеется, не могли упустить случая подгадить чужому проекту, тем более когда все формальные реверансы соблюдены и вроде как они не при делах.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #8

8. Сообщение от m.makhno (ok), 04-Ноя-20, 12:39	+1 +/–
> гугловоды, разумеется, не могли упустить случая подгадить чужому проекту У Google на GitHub 2к реп - так оно им надо?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #15

9. Сообщение от Аноним (9), 04-Ноя-20, 12:41	+/–
Да всегда она дерьмо было, зачем тут скакать с кастрюльками на голове? Изначально надо было игнорировать и они бы быстро схлопнулись.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 04-Ноя-20, 12:59	+1 +/–
Ну да, мы не любим Майкрософт, это не секрет. Майки к этому приложили множество усилий. Теперь пожинают плоды.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #11

11. Сообщение от Аноним (11), 04-Ноя-20, 13:40	–6 +/–
Да всем с....ть на вас. Пожинают плоды они в виде собирания денег с таких лохопедов как ты. То с гитхаба копеечку, то с азура.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (12), 04-Ноя-20, 14:34	–1 +/–
Чёт я не понял как и куда кто-то может подставить своё действие. Если я использую чужую action, она могла, может и всегда будет мочь сделать абсолютно что угодно в рамках запуска action, разве нет? Это вполне ожидаемо. А вообще должен сказать что попробовал миграцию с Travis (который скурвился - время ожидания в очереди выросло до десятков часов, хотят чтобы пользователи мигрировали на travis.com с ограничениями, который запрашивает невменяемых доступов с полным r/w к репозиториям) на actions и очень доволен. CI на actions работает в разы быстрее, не требует выдачи доступов каким-то третьим сервисам, образы ubuntu там новее и лучше устроены с точки зрения свежего софта, например работабщий pg13 из коробки, сразу есть винда, что позволяет отказаться ещё и от yблюдского appveyor, и конфиг получается намного чище и гранулярнее. Всем советую.
Ответить \| Правка \| Наверх \| Cообщить модератору

13. Сообщение от Чума (?), 04-Ноя-20, 14:52	+/–
Злоумышленник может написать любой код для PR. Именно поэтому, нельзя билдить каждый PR от случайных людей.
Ответить \| Правка \| Наверх \| Cообщить модератору

14. Сообщение от Аноним (-), 04-Ноя-20, 15:05	+/–
> GitHub останется только код в Арктике А ты уверен что он там есть ? Дешевая ПР акция какбы
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

15. Сообщение от пох. (?), 04-Ноя-20, 15:23	+1 +/–
Так ведь не у гугля, а у рабов гугля - сам гугль свое никому не отдаст, у него все в надежной внутренней заначке, на гитхабе лежат кости, кинутые забесплатно-нате-жрите (гугль, кстати, весьма разборчив в том, что выкидывать), все равно ненужно. И даже если гитхап прям завтра сдохнет - гуглю от этого никакого особого расстройства. А рабы...ну в гитляп переедут, или еще куда. А вот просто сделать пакость конкурирующей компании, раз она так подставилась - почему же ж нет. Никакого другого смысла прождав пол-года не согласиться подождать еще пару недель - лично я не вижу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

16. Сообщение от Аноним (16), 04-Ноя-20, 16:00	+/–
Запрет на ## в issue.title решило бы проблему?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17

17. Сообщение от пох. (?), 04-Ноя-20, 18:55	+/–
для тех кто парсит issue title - решило бы. Для тех кто парсит что-то другое - не решило бы. Ибо нехрен мешать необработанные данные с кодом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

18. Сообщение от Аноним (18), 04-Ноя-20, 22:47	+/–
Славные ручки микрософт.
Ответить \| Правка \| Наверх \| Cообщить модератору

19. Сообщение от Ordu (ok), 05-Ноя-20, 00:19	+/–
Здравствуй, дырявый unix-way! Давненько на опеннете не писали про тупейшие ошибки вызываемые пайпами, переменными окружениями и дебильным способом передачи аргументов дочернему процессу.
Ответить \| Правка \| Наверх \| Cообщить модератору