Осебӣ дар коркардкунандагони GitHub Actions, ки ҳангоми ирсоли дархостҳои кашидан ба анбори бастаи Nixpkgs, ки дар тақсимоти NixOS ва экосистемаи мудири бастаи Nix истифода мешаванд, ба таври худкор истифода мешаванд, ошкор карда шуданд. Ин осебпазирӣ ба корбари беиҷозат имкон дод, токенеро истихроҷ кунад, ки дастрасии хондан ва навиштанро ба коди сарчашмаи ҳама бастаҳои дар Nixpkgs ҷойгиршуда медиҳад. Ин нишона имкон дод, ки ҳама гуна бастаҳо тавассути анбори Git-и лоиҳа тағир дода шаванд ва равандҳои баррасӣ ва тасдиқро гузаранд.
Қобилияти вайрон кардани Nixpkgs ва ворид кардани рамзи фармоишӣ ба ҳама гуна бастаҳо аз ҷониби муҳаққиқони амният дар моҳи октябри соли гузашта дар конфронси NixCon нишон дода шуда буд ва фавран дар инфрасохтори лоиҳа часпонида шуд. Аммо ҷузъиёти ҳамла танҳо баъд аз як сол ифшо шуд. Масъала ба истифодаи коркардкунандагони GitHub Actions дар анбори Nixpkgs GitHub, ки ба ҳодисаи "pull_request_target" вобастаанд ва дар дархостҳои нави кашидан санҷишҳои автоматӣ анҷом медиҳанд, алоқаманд буд.
Баръакси ҳодисаи "pull_request", коркардкунандагон дар "pull_request_target" дастрасии хондан/навиштанро ба муҳити сохтан доранд, ки ҳангоми кор бо маълумоте, ки дар дархости кашида гирифта шудааст, нигоҳубини махсусро талаб мекунад. Яке аз коркардкунандагони ба "pull_request_target" пайвастшуда файли "OWNERS" -и дар дархости кашидашуда тавассути сохтан ва даъват кардани утилитаи codeowners-validator -ро тасдиқ кард: қадамҳо: — истифода мебарад: actions/checkout@eef61447b9ff4aafe5dcd4e0bbf бо: ref:$/mergel:refs/-pull: base/ci -A codeownersValidator — иҷро кунед: result/bin/codeowners-validator env: OWNERS_FILE: pr/ci/OWNERS
Мушкилот дар он буд, ки агар файли OWNERS нодуруст формат карда шуда бошад, утилитаи codeowners-validator мундариҷаи сатри нодурустро ба гузориши стандартии дастраси омма мебарорад. Ҳамла аз ҷойгир кардани пайванди рамзӣ бо номи OWNERS дар дархости кашидан иборат буд, ки ба файли ".credentials" ишора мекунад, ки маълумоти эътимодномаро дар муҳити сохта нигоҳ медорад. Дар натиҷа, коркарди ин файл ба хатогӣ оварда расонд ва сатри аввал, ки аломати дастрасии анборро дар бар мегирад, ба сабти умумӣ бароварда шуд.
Илова бар ин, осебпазирии дигар дар коркардкунанда пайдо шуд, ки қоидаҳои конфигуратсияи таҳрирро тафтиш мекунад. қадамҳо: — ном: Рӯйхати файлҳои тағирёфтаро аз PR иҷро гиред: gh api […] | jq [… ] > «$HOME/changed_files» — истифода мебарад: actions/checkout@eef61447b9ff4aafe5dcd4e0bbf5d482be7e7871 бо: ref: refs/pull/$/merge — ном: Тафтиши EditorConfig иҷро: cat «$files» changed | xargs -r editorconfig-checker
Дар ин ҳолат, масъала истифодаи утилитаи "xargs" барои иҷро кардани editorconfig-checker бо ҳар як файл дар дархости кашидан буд. Азбаски номҳои файл тасдиқ нашудаанд, ҳамлакунанда метавонад файлеро дар бар гирад, ки аломатҳои махсусро дар дархости кашидан дар бар гирад, ки он ҳамчун далелҳои сатри фармон ҳангоми иҷро кардани editorconfig-checker коркард карда мешавад. Масалан, ҳангоми сохтани файли "--help", editorconfig-checker ишораро дар бораи имконоти мавҷуда нишон медиҳад.
Манбаъ: opennet.ru
