谷歌 Bazel 面临命令注入威胁

阅读量49967

发布时间 : 2024-02-02 11:30:27

安全研究人员最近在 Google 旗舰开源产品之一 Bazel 中发现了一个供应链漏洞。

该缺陷主要围绕依赖 GitHub Actions 工作流程中的命令注入漏洞,可能允许恶意行为者将有害代码插入 Bazel 的代码库中。

Cycode 研究人员表示,这种情况的严重性意味着它可能会影响各种平台上的数百万个项目和用户,包括 Kubernetes、Angular、Uber、LinkedIn、Databricks、Dropbox、Nvidia 和 Google 本身。

从技术角度来看,这一发现主要针对 GitHub Actions,这是一个持续集成和持续交付 (CI/CD) 平台。

GitHub Actions 允许用户通过可定制的工作流程自动化构建、测试和部署流程。但是,使用充当单独工作流任务的自定义操作会带来复杂性和潜在的安全风险。

了解有关 GitHub 漏洞的更多信息:安全专家敦促 IT 部门锁定 GitHub 服务

在今天早些时候发布的一份公告中,Cycode 强调,工作流程中的广泛依赖性(通常利用第三方操作)给软件供应链的安全带来了挑战。

该公司的研究重点关注间接依赖项中的漏洞,例如自定义操作,这些漏洞可能驻留在不同的存储库、生态系统中并由不同的维护者负责。本文讨论了 GitHub Actions 生态系统中的自定义操作带来的风险,特别是复合操作,它将多个工作流程步骤组合到一个操作中。

该通报还深入探讨了 Bazel 的 GitHub Actions 工作流程中发现的漏洞的具体情况,详细说明了从触发工作流程到注入点的步骤。一个关键问题是由于复合操作中缺乏适当的输入验证而导致注入和执行任意命令的能力。

Cycode 研究团队于 2023 年 11 月 1 日通过 Google 漏洞奖励计划及时报告了该漏洞,几天后就收到了确认。随后,Google 在 12 月 5 日之前解决并纠正了 Bazel 中的易受攻击的组件。

实施了必要的修复,包括更新工作流基础权限和修改相关操作,消除了命令注入漏洞。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66