GitHub Actions هينڊلرز ۾ ڪمزوريون، جيڪي NixOS ڊسٽريبيوشن ۽ Nix پيڪيج مئنيجر ايڪو سسٽم ۾ استعمال ٿيندڙ Nixpkgs پيڪيج ريپوزٽري ڏانهن پل درخواستون جمع ڪرائڻ وقت خودڪار طريقي سان سڏ ڪيون وينديون آهن، ظاهر ڪيون ويون آهن. ڪمزورين هڪ غير مجاز صارف کي Nixpkgs ۾ ميزباني ڪيل سڀني پيڪيجز جي سورس ڪوڊ تائين پڙهڻ ۽ لکڻ جي رسائي فراهم ڪندڙ ٽوڪن ڪڍڻ جي اجازت ڏني. هن ٽوڪن جائزو ۽ منظوري جي عملن کي نظرانداز ڪندي، پروجيڪٽ جي Git ريپوزٽري ذريعي ڪنهن به پيڪيج جي سڌي طرح ترميم جي اجازت ڏني.
Nixpkgs سان سمجهوتو ڪرڻ ۽ ڪنهن به پيڪيج ۾ ڪسٽم ڪوڊ داخل ڪرڻ جي صلاحيت سيڪيورٽي محققن پاران گذريل آڪٽوبر ۾ NixCon ڪانفرنس ۾ ڏيکاري وئي هئي ۽ فوري طور تي منصوبي جي انفراسٽرڪچر ۾ پيچ ڪئي وئي هئي. بهرحال، حملي جي تفصيل صرف هڪ سال بعد ظاهر ڪئي وئي. مسئلو Nixpkgs GitHub ريپوزٽري ۾ GitHub ايڪشن هينڊلرز جي استعمال سان لاڳاپيل هو، جيڪي "pull_request_target" واقعي سان ڳنڍيل آهن ۽ نئين پل درخواستن تي خودڪار چيڪ انجام ڏين ٿا.
"pull_request" واقعي جي برعڪس، "pull_request_target" ۾ هينڊلر کي بلڊ ماحول تائين پڙهڻ/لکڻ جي رسائي ڏني ويندي آهي، جنهن کي پل درخواست ۾ پاس ڪيل ڊيٽا سان ڪم ڪرڻ وقت خاص خيال جي ضرورت هوندي آهي. "pull_request_target" سان ڳنڍيل هينڊلر مان هڪ پل درخواست ۾ مهيا ڪيل "OWNERS" فائل کي ڪوڊ اونرز-ويليڊيٽر يوٽيلٽي کي بلڊنگ ۽ ڪال ڪندي تصديق ڪئي: قدم: — استعمال ڪري ٿو: actions/checkout@eef61447b9ff4aafe5dcd4e0bbf سان: ref: refs/pull/$/merge path: pr — run: nix-build base/ci -A codeownersValidator — run: result/bin/codeowners-ويليڊيٽر env: OWNERS_FILE: pr/ci/OWNERS
مسئلو اهو هو ته جيڪڏهن OWNERS فائل کي غلط فارميٽ ڪيو ويو هو، ته ڪوڊ اونرز-ويليڊيٽر يوٽيلٽي خراب ٿيل اسٽرنگ جي مواد کي معياري، عوامي طور تي رسائي لائق لاگ ڏانهن آئوٽ پُٽ ڪندي. حملي ۾ پل درخواست ۾ OWNERS نالي هڪ علامتي لنڪ رکڻ شامل هو، جيڪو ".credentials" فائل ڏانهن اشارو ڪندو هو، جيڪو بلڊ ماحول ۾ سندون محفوظ ڪندو هو. نتيجي طور، هن فائل کي پروسيس ڪرڻ جي نتيجي ۾ هڪ غلطي پيدا ٿي ۽ پهرين لائن، جنهن ۾ ريپوزٽري رسائي ٽوڪن شامل هئي، عوامي لاگ ڏانهن آئوٽ پُٽ هئي.
ان کان علاوه، هينڊلر ۾ هڪ ٻي ڪمزوري ملي وئي جيڪا ايڊيٽر ڪنفيگ قاعدن کي چيڪ ڪري ٿي. قدم: — نالو: پي آر رن مان تبديل ٿيل فائلن جي فهرست حاصل ڪريو: gh api […] | jq [ … ] > «$HOME/changed_files» — استعمال ڪري ٿو: actions/checkout@eef61447b9ff4aafe5dcd4e0bbf5d482be7e7871 سان: ref: refs/pull/$/merge — نالو: ايڊيٽر ڪنفيگ کي چيڪ ڪندي رن: cat «$HOME/changed_files» | xargs -r editorconfig-checker
هن صورت ۾، مسئلو پل درخواست ۾ هر فائل سان editorconfig-checker هلائڻ لاءِ "xargs" يوٽيليٽي جو استعمال هو. جيئن ته فائل جا نالا تصديق ٿيل نه هئا، هڪ حملو ڪندڙ پل درخواست ۾ خاص ڪردارن تي مشتمل هڪ فائل شامل ڪري سگهي ٿو، جيڪو editorconfig-checker هلائڻ وقت ڪمانڊ لائن دليلن جي طور تي پروسيس ڪيو ويندو. مثال طور، "--help" فائل ٺاهڻ وقت، editorconfig-checker موجود اختيارن بابت هڪ اشارو ڏيکاريندو.
جو ذريعو: opennet.ru
