A equipe do Google Project Zero (focado em encontrar bugs de segurança) tornou público ontem um bug encontrado no GitHub considerado de “alta severidade”. Desde fins de julho sem resolver o problema, o GitHub pediu mais tempo; mas a resposta veio curta e grossa.
“Não há como prorrogar ainda mais o prazo, pois este já é o 104º dia (90 dias + extensão do prazo em 14 dias) sem solução; a divulgação do problema será hoje”.
Segundo o engenheiro do GPZ que relatou o problema, Felix Wilhelm, a falha está em recurso chamado workflow commands, que permite automatizar ações relacionadas a um fluxo de trabalho: “Este recurso é extremamente vulnerável à injeção de comandos e fundamentalmente inseguro, já que permitiria a um hacker executar códigos remotamente em uma máquina vulnerável.”
Cem dias sem solução
GitHub é um popular sistema de controle de versão e repositório de códigos-fonte mantido pela Microsoft e usado por desenvolvedores e empresas de todo o mundo, o que torna o bug ainda mais grave: “Analisei repositórios GitHub e, entre os mais populares, quase todos os projetos com ações GitHub um tanto complexas são vulneráveis a essa classe de bug.“
O bug permite executar códigos remotamente em uma máquina vulnerável.Fonte: CloudBric/Reprodução
A plataforma foi avisada da vulnerabilidade em 21 de julho e, como é padrão do GPZ, foram dados 90 dias (até 18 de outubro) para a correção do problema; findo esse tempo, a falha é divulgada. O Github então desativou os comandos vulneráveis e enviou um alerta os usuários, dizendo que o bug era de gravidade “moderada" e recomendando que os fluxos de trabalho fossem atualizados.
Dois dias antes de acabar o prazo, o GPZ deu mais 14 dias para o Github desabilitar todos os comandos; no último domingo (1), a plataforma pediu mais dois dias para “notificar os clientes sobre o problema e determinar uma data limite para a correção”. O GPZ recusou e divulgou a falha.
Fontes
