Vulnerabilitates in tractatoribus GitHub Actions, quae sponte invocantur cum petitiones extractionis ad repositorium fasciculorum Nixpkgs, in distributione NixOS et systemate administratoris fasciculorum Nix adhibito, submittuntur, detectae sunt. Vulnerabilitas usori non auctorizato permisit ut tessera extraheret quae accessum legendi et scribendi ad codicem fontem omnium fasciculorum in Nixpkgs positorum concedebat. Haec tessera modificationem directam cuiuslibet fasciculi per repositorium Git propositi permisit, processus recensionis et approbationis praetereundo.
Facultas Nixpkgs violandi et codicem proprium in quemlibet fasciculum injiciens a peritis securitatis mense Octobri proximo in conventu NixCon demonstrata est et statim in infrastructura propositi emendata est. Attamen, singula impetus tantum post annum patefacta sunt. Quaestio ad usum tractatorum GitHub Actions in repositorio Nixpkgs GitHub pertinebat, qui evento "pull_request_target" coniunguntur et probationes automaticas post novas petitiones extractionis perficiunt.
Dissimiliter evento "pull_request", tractatores in "pull_request_target" accessum legendi/scribendi ad ambitum constructionis habent, quod curam specialem requirit cum datis in petitione extractionis traditis laboratur. Unus e tractatoribus ad "pull_request_target" alligatus fasciculum "OWNERS" in petitione extractionis provisum validavit per constructionem et vocationem utilitatis codeowners-validator: gradus: — usus: actions/checkout@eef61447b9ff4aafe5dcd4e0bbf cum: ref: refs/pull/$/merge path: pr — run: nix-build base/ci -A codeownersValidator — run: result/bin/codeowners-validator ambitus: OWNERS_FILE: pr/ci/OWNERS
Problema erat, si fasciculus OWNERS perperam formatus esset, utilitas `codeowners-validator` contenta litterarum male formatarum in acta publica ordinaria exhiberet. Impetus constabat ex nexu symbolico nomine OWNERS in petitione extractionis collocando, qui ad fasciculum ".credentials" spectabat, qui testimonia in ambitu constructionis servat. Propterea, huius fasciculi tractatio errorem effecit et prima linea, tessera accessus repositorii continens, in acta publica exhibita est.
Praeterea, alia vulnerabilitas inventa est in tractatore qui regulas editorconfig inspicit. gradus: — nomen: Accipe indicem fasciculorum mutatorum ex PR curre: gh api […] | jq [ … ] > «$HOME/changed_files» — usus: actiones/checkout@eef61447b9ff4aafe5dcd4e0bbf5d482be7e7871 cum: ref: refs/pull/$/merge — nomen: EditorConfig inspiciens curre: cat «$HOME/changed_files» | xargs -r editorconfig-checker
Hoc in casu, quaestio erat usus utilitatis "xargs" ad editorconfig-checker cum singulis fasciculis in petitione extractionis currendum. Cum nomina fasciculorum non validata essent, aggressor fasciculum characteres speciales continentem in petitione extractionis includere poterat, qui ut argumenta lineae mandati tractarentur cum editorconfig-checker curreretur. Exempli gratia, cum fasciculum "--help" crearetur, editorconfig-checker indicium de optionibus praesto ostenderet.
Source: opennet.ru
