CVE-2020-15228 : une vulnérabilité grave sur la plateforme GitHub

Après avoir révélé une faille au sein de Windows, nous apprenons que les chercheurs de l'équipe Project Zero de chez Google ont découvert une nouvelle vulnérabilité : cette fois-ci au sein de la plateforme GitHub, dont Microsoft est le propriétaire.

Cette faille de sécurité critique est située au sein de la fonctionnalité "Actions" de GitHub et elle permet une attaque par injection. Alors qu'il s'est passé 90 jours depuis que l'équipe Project Zero a informé GitHub de ce problème de sécurité, celui-ci n'est pas résolu. Étonnant puisque selon Google, 95,8% des failles sont corrigées en respectant ce délai de 90 jours. Plus précisément, le signalement a eu lieu le 21 juillet 2020, ce qui laissait aux équipes de GitHub jusqu'au 18 octobre pour corriger cette faille.

D'après Felix Wilhelm, de l’équipe Project Zero, la majorité des dépôts populaires de GitHub sont vulnérables. En fait, tout dépend des commandes de flux de travail définies dans Actions au niveau du dépôt.

Pour l'heure, la résolution de ce bug est assez floue : de son côté GitHub indique que les commandes vulnérables sont prêtes à être désactivées, tout en demandant à chaque fois un délai supplémentaire à l'équipe de Project Zero afin que la faille ne soit pas divulguée. En fait, GitHub a fait le mort malgré des interrogations de Project Zero... Avant de dire que tout était résolu, puis de dire l'inverse un jour avant la fin du délai imparti et qu'ils ne seraient pas prêt d'ici le 2 novembre.

À force de relance et d'accepter des jours de grâce supplémentaires, soit 14 jours de grâce au total, Project Zero a procédé à la divulgation de cette faille, car selon sa politique, le délai ne peut excéder 104 jours.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian a publié 3119 articlesVoir toutes les publications de cet auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.