GitHub终于修复了Google Project Zero 讲述的高危安全漏洞

小二 12 0

11月初,谷歌公然披露了GitHub中的一个 "高"严重性平安问题,此前后者无法在104天内修复--超过了尺度时限。不外,GitHub用户现在会很喜悦地知道,这个平安破绽终于被填补了。

该平安破绽源自GitHub Actions中的工作流下令,它作为执行动作和Action Runner之间的通讯渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初讲述了这个平安破绽,他示意工作流下令的实现方式 "从根本上来说是不平安的"。短期的解决方案是废止下令语法,而历久的修复方式是将工作流下令转移到一些外链通道,但这也很棘手,由于这会损坏依赖性代码。在GitHub未能在划定的104天内修复该问题后,谷歌于11月2日公然披露了该问题。

1548932283_github_story.jpg

申通回应“快递用户信息遭销售”报道:组织平安小组观察

11月20日晚上10点,针对澎湃新闻报道“快递用户信息遭贩卖,其中申通疑有‘内鬼’”一事,申通快递回应澎湃新闻称,感谢公众的监督以及反馈,申通快递一直以来对信息安全高度重视,已组织专项安全小组现场调查,并配合相关部门严厉打击相关不法行为。

显然,这给该公司带来了一定的压力,现在该破绽已经被修复。补丁说明显示,该修复方式与Wilhelm提出的短期解决方案一致。

停用add-path和set-env runner下令(#779)

更新了dotnet安装剧本(#779)

几天前,GitHub已经修复了这个问题,但现在已经被谷歌Project Zero团队验证,并在问题库中符号。这样一来,平安团队讲述的公然问题清单就削减到了9个。其中包罗微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关,但这一 "中等"严重性缺陷的状态自2016年9月以来一直处于开放状态。

标签: #安全 #GitHub终于修复了Google Project Zero 报告的高危安全漏洞