በGitHub Actions ተቆጣጣሪዎች ውስጥ የጉትት ጥያቄዎችን ወደ Nixpkgs ጥቅል ማከማቻ ሲያቀርቡ የሚጠሩት በNixOS ስርጭት እና በNix የጥቅል አስተዳዳሪ ስነ-ምህዳር ውስጥ ያሉ ተጋላጭነቶች ተገለጡ። ተጋላጭነቱ ያልተፈቀደ ተጠቃሚ በNixpkgs ውስጥ የተስተናገዱትን የሁሉም ፓኬጆች ምንጭ ኮድ ለማንበብ እና ለመፃፍ የሚያስችል ማስመሰያ እንዲያወጣ አስችሎታል። ይህ ማስመሰያ የግምገማ እና የማጽደቅ ሂደቶችን በማለፍ በፕሮጀክቱ የጂት ማከማቻ በኩል ማንኛውንም ጥቅል በቀጥታ ማሻሻያ ፈቅዷል።
Nixpkgsን የማላላት እና ብጁ ኮድ ወደ የትኛውም ፓኬጅ የማስገባት ችሎታ ባለፈው ጥቅምት ወር በኒክስኮን ኮንፈረንስ በደህንነት ተመራማሪዎች ታይቷል እና ወዲያውኑ በፕሮጀክቱ መሠረተ ልማት ውስጥ ተስተካክሏል። ሆኖም የጥቃቱ ዝርዝር ሁኔታ ከአንድ አመት በኋላ ብቻ ይፋ ሆነ። ጉዳዩ በNixpkgs GitHub ማከማቻ ውስጥ የGitHub Actions ተቆጣጣሪዎችን ከመጠቀም ጋር የተያያዘ ሲሆን ከ"የጎትት_ጥያቄ_ዒላማ" ክስተት ጋር የተቆራኙ እና በአዲስ የመጎተቻ ጥያቄዎች ላይ አውቶማቲክ ፍተሻዎችን ያደርጋሉ።
ከ"ፑል_ጥያቄ" ክስተት በተለየ በ"pull_request_target" ውስጥ ያሉ ተቆጣጣሪዎች የግንባታ አካባቢን የማንበብ/የመፃፍ ፍቃድ ተሰጥቷቸዋል። ከ "pull_request_target" ጋር ከታሰሩት ተቆጣጣሪዎች አንዱ የ "OWNERS" ፋይልን በማሳያ ጥያቄው ላይ ያለውን ኮድ ባለቤቶች-ማረጋገጫ መገልገያውን በመገንባት እና በመደወል አረጋግጧል: ደረጃዎች: — ይጠቀማል: action/checkout@eef61447b9ff4aafe5dcd4e0bbf በ: ref/refs/pull/-$/me rund path: refs/pull/-$/me rund path: codeowners አረጋጋጭ — አሂድ፡ ውጤት/ቢን/codeowners-አረጋጋጭ env፡ OWNERS_FILE፡ pr/ci/OWNERS
ችግሩ የOWNERS ፋይሉ በስህተት ከተቀረጸ የኮድ ባለቤቶች-አረጋጋጭ መገልገያው የተበላሸውን ሕብረቁምፊ ይዘቶች ወደ መደበኛው ይፋዊ ተደራሽ የሆነ መዝገብ ያወጣል። ጥቃቱ በግንባታ አካባቢ ውስጥ ምስክርነቶችን የሚያከማች ወደ ". ምስክርነቶች" ፋይል በማመልከት OWNERS የሚባል ተምሳሌታዊ ማገናኛን በመጎተት ጥያቄ ውስጥ ማስቀመጥን ያካትታል። ስለዚህ፣ ይህን ፋይል ማካሄድ ስህተት አስከትሏል እና የመጀመሪያው መስመር፣የማከማቻ መዳረሻ ቶከንን የያዘ፣ ወደ ይፋዊ መዝገብ ወጣ።
በተጨማሪም፣ የአርትዖት ውቅረት ደንቦችን የሚፈትሽ ሌላ ተጋላጭነት በተቆጣጣሪው ውስጥ ተገኝቷል። እርምጃዎች: - ስም: የተቀየሩ ፋይሎችን ዝርዝር ከ PR አሂድ ያግኙ: gh api […] | jq [ … ] > «$HOME/የተቀየሩ_ፋይሎችን» — ይጠቀማል፡ action/checkout@eef61447b9ff4aafe5dcd4e0bbf5d482be7e7871 ከ፡ ማጣቀሻ፡ refs/መጎተት/$/ማዋሃድ — ስም፡ አርታዒን በማዋቀር አሂድ፡ ድመት «$ቤት/የተቀየረ_fi xargs -r editorconfig-Checker
በዚህ ጉዳይ ላይ፣ ጉዳዩ የ"xargs" አገልግሎትን በመጠቀም editorconfig-checkerን በእያንዳንዱ ፋይል በመጎተት ጥያቄ ውስጥ ማስኬድ ነበር። የፋይል ስሞች ስላልተረጋገጡ አጥቂው ልዩ ቁምፊዎችን የያዘ ፋይልን በመጎተት ጥያቄ ውስጥ ሊያካትት ይችላል፣ይህም editorconfig-Checkerን ሲያሄድ እንደ የትዕዛዝ መስመር ነጋሪ እሴት ነው። ለምሳሌ፣ የ"--help" ፋይል ሲፈጥሩ፣ editorconfig-checker ስላሉት አማራጮች ፍንጭ ያሳያል።
ምንጭ: opennet.ru
