GitHub corrige una vulnerabilidad de seguridad grave después de 104 días

Principios de noviembre Google reveló públicamente una violación de seguridad "Alta gravedad" que tu equipo de Proyecto cero había descubierto en GitHub, propiedad de Microsoft. Después de ser revelado de forma privada a GitHub y dado tiempo para corregir el problema. Como resultado y pasado el plazo propuesto por Project Zero, Google lo dio a conocer públicamente.

Índice

    104 días después, GitHub finalmente solucionó el problema

    La falla hizo mención a la funcionalidad de comando de flujo de trabajo de GitHub. Cuál es la comunidad entre el ejecutor de acciones y las acciones realizadas. Es parte de la funcionalidad Acciones de GitHub. La gente de Project Zero en Google afirmó que la funcionalidad es "Fundamentalmente peligroso", y el miembro del grupo que informó del problema, Felix Wilhelm, ofreció hasta 2 posibles soluciones, una es una solución a corto plazo y la otra es una solución a largo plazo.

    Parece que GitHub ha tomado la solución a corto plazo, al menos por ahora. El estado de las notas de la versión de GitHub:

    • Deshabilitar los comandos de Old Runner set-env y add-path
    • Actualizar los scripts de instalación de dotnet
    • Actualiza la versión del corredor y las notas de la versión.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir