谷歌 Project Zero 研究人員在GitHub中發現了一個高危安全漏洞，并在7月21日提交了GitHub，按照谷歌Project Zero 90天的漏洞公開計劃公開漏洞的時間為10月18日。

[[350918]]

漏洞概述

漏洞位于GitHub的開發者工作流自動化工具Actions 特征中。根據GitHub 文檔，在 GitHub Actions 的倉庫中自動化、自定義和執行軟件開發工作流程，可以發現、創建和共享操作以執行您喜歡的任何作業(包括 CI/CD)，并將操作合并到完全自定義的工作流程中。

Github Actions 支持一個名為workflow commands的特征，這是Action runner和執行action的通信信道。Workflow commands 在runner/src/Runner.Worker/ActionCommandManager.cs 中實現，通過分析所有尋找2個命令maker的執行的action的STDOUT來工作。

該特征的一大問題是極易受到注入攻擊的威脅。Runner進程在分析尋找workflow command的打印到STDOUT的每行時，每個打印不可信內容的GitHub action都易受到攻擊。在大多數情況下，如果能夠設置任意的環境變量，當另一個workflow執行時就會引發遠程代碼執行。

時間軸

10月1日，GitHub 發布公告承認了該漏洞，并分配了CVE編號CVE-2020-15228，但稱該漏洞實際上中危漏洞。

10月12日，谷歌 Project Zero 研究人員聯系了GitHub，并主動提出將漏洞公開的時間延長14天，并詢問是否需要需要更多的時間來禁用有漏洞的命令。

GitHub 接受了將漏洞公開的時間延遲14天，并預計于10月19日之后禁用有漏洞的命令。因此，谷歌 Project Zero將漏洞公開時間定于11月2日。

10月28日，由于GitHub沒有修復漏洞，谷歌 Project Zero 再次聯系GitHub稱距離漏洞公開的時間不足一周，但是未得到GitHub 回應。由于未收到GitHub 官方回應，Project Zero 聯系了非官方人員得到回應稱該漏洞將被修復，Project Zero可以按照計劃的11月2日公開漏洞。

11月1日，GitHub給出官方回應，但稱無法在11月2日禁用有漏洞的命令，并請求額外的2天時間來通知用戶該漏洞的相關信息，但這2天并不是修復漏洞的時間，也沒有給出明確的漏洞修復時間。

因此，11月2日，Project Zero 按照計劃公開了該漏洞。

本文翻譯自：

https://www.zdnet.com/article/google-to-github-times-up-this-unfixed-high-severity-security-bug-affects-developers/