谷歌 Bazel 面临命令注入威胁

安全研究人员最近在 Google 旗舰开源产品之一 Bazel 中发现了一个供应链漏洞。

该缺陷主要围绕依赖 GitHub Actions 工作流程中的命令注入漏洞，可能允许恶意行为者将有害代码插入 Bazel 的代码库中。

Cycode 研究人员表示，这种情况的严重性意味着它可能会影响各种平台上的数百万个项目和用户，包括 Kubernetes、Angular、Uber、LinkedIn、Databricks、Dropbox、Nvidia 和 Google 本身。

从技术角度来看，这一发现主要针对 GitHub Actions，这是一个持续集成和持续交付 (CI/CD) 平台。

GitHub Actions 允许用户通过可定制的工作流程自动化构建、测试和部署流程。但是，使用充当单独工作流任务的自定义操作会带来复杂性和潜在的安全风险。

了解有关 GitHub 漏洞的更多信息：安全专家敦促 IT 部门锁定 GitHub 服务

在今天早些时候发布的一份公告中，Cycode 强调，工作流程中的广泛依赖性（通常利用第三方操作）给软件供应链的安全带来了挑战。

该公司的研究重点关注间接依赖项中的漏洞，例如自定义操作，这些漏洞可能驻留在不同的存储库、生态系统中并由不同的维护者负责。本文讨论了 GitHub Actions 生态系统中的自定义操作带来的风险，特别是复合操作，它将多个工作流程步骤组合到一个操作中。

该通报还深入探讨了 Bazel 的 GitHub Actions 工作流程中发现的漏洞的具体情况，详细说明了从触发工作流程到注入点的步骤。一个关键问题是由于复合操作中缺乏适当的输入验证而导致注入和执行任意命令的能力。

Cycode 研究团队于 2023 年 11 月 1 日通过 Google 漏洞奖励计划及时报告了该漏洞，几天后就收到了确认。随后，Google 在 12 月 5 日之前解决并纠正了 Bazel 中的易受攻击的组件。

实施了必要的修复，包括更新工作流基础权限和修改相关操作，消除了命令注入漏洞。