GoogleのProject Zero、GitHub Actionsの脆弱性を公表

2020年11月6日 09:23

headless 曰く、　GoogleのProject Zeroは2日、GitHubのリポジトリ内でソフトウェア開発ワークフローを自動化できるGitHub Actionsの脆弱性を公表した(Issue 2070、 Neowinの記事)。

脆弱性が見つかったのはGitHub Actionsのワークフローコマンドの実行に関するものだ。Actionsのランナーは実行されたアクションのSTDOUT出力をパースし、ワークフローコマンドを探して実行する。そのため、信頼されていないコンテンツを出力するアクションにはインジェクション攻撃を可能にする脆弱性がある。たとえば、環境変数を設定する「set-env」や、パスを追加する「add-path」といったワークフローコマンドに悪意のあるパラメーターが指定されると、その後のワークフロー実行時にリモートからコードが実行される可能性があるという。

Project Zeroは7月21日に脆弱性をGitHubへ報告。GitHub側は10月1日にCVE-2020-15228としてアドバイザリーを公開し、脆弱性のあるコマンドの非推奨化を発表した。報告から90日後の公表期限は10月19日だったが、GitHubは脆弱性のあるコマンドを無効化するために14日間の猶予期間追加を要請し、期限は11月2日となった。GitHubはさらに48時間の追加を求めたが、問題の修正が目的ではなかったためProject Zeroは認めずに脆弱性を公表したとのことだ。

最新記事

• Google DeepMindからトップ研究者6名がMetaやOpenAIらへ移籍、背景に「商用コーディング重視」への戦略転換か
• 「宇宙AIデータセンター」は実現するか？ ソフトバンク孫氏がSpaceX構想のコストと遅延を疑問視
• 【未確認】カルパシー氏の作とされる「CLAUDE.md」10原則が流出か、AIコーディングの自律ループを制御する新ルール
• 米商務省、Anthropicの「Claude Mythos 5」を重要インフラ防衛向けに限定復旧、一般向けの「Fable 5」は停止継続
• 投機的デコーディングの限界を突破、新手法「DFlash」がBlackwell GPUで15倍のスループットを達成