Компания Google раскрыла информацию о методе эксплуатации уязвимости (CVE-2020-15228) в механизме GitHub Actions, предназначенном для прикрепления обработчиков для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Уязвимость вызвана тем, что обмен командами между процессом запуска Action и запускаемым действием (Action) производится через стандартный поток (STDOUT) - Actions Runner парсит стандартный поток, формируемый в процессе выполнения действий, и выделяет в нём маркеры команд "##[command parameter1=data;]command-value..."...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54023
Неделя гитхаба, все идет отлично.
Б-же, какое же лицемерие. До покупки Майкрософтом "свободное" сообщество сочувствовало или, в лучшем случае, не замечало, то после начинаются скакания и радостные вопли на любую проблему хорошей, в общем-то, системы, популярной во всём мире.
Да всегда она дерьмо было, зачем тут скакать с кастрюльками на голове? Изначально надо было игнорировать и они бы быстро схлопнулись.
Ну да, мы не любим Майкрософт, это не секрет.Майки к этому приложили множество усилий. Теперь пожинают плоды.
Да всем с....ть на вас. Пожинают плоды они в виде собирания денег с таких лохопедов как ты. То с гитхаба копеечку, то с азура.
с июля знали, подготовить к ноябрю не успели, отказ в ещё одной отсрочке получили, патч таки выпустили... лол
Вероятнее всего, они чуть менее тyпые чем ты, и то, что они не успели выпустить - не заключалось в блокировке намертво команд, на которые завязана куча работающих скриптов, с оставлением других потенциальных дыр, потому что иначе вообще все сломается, а предполагало более осторожное решение. Которое никакой google zero в клювике не принес, это работа, ее сделать надо.Но гугловоды, разумеется, не могли упустить случая подгадить чужому проекту, тем более когда все формальные реверансы соблюдены и вроде как они не при делах.
> гугловоды, разумеется, не могли упустить случая подгадить чужому проектуУ Google на GitHub 2к реп - так оно им надо?
Так ведь не у гугля, а у рабов гугля - сам гугль свое никому не отдаст, у него все в надежной внутренней заначке, на гитхабе лежат кости, кинутые забесплатно-нате-жрите (гугль, кстати, весьма разборчив в том, что выкидывать), все равно ненужно.И даже если гитхап прям завтра сдохнет - гуглю от этого никакого особого расстройства. А рабы...ну в гитляп переедут, или еще куда.
А вот просто сделать пакость конкурирующей компании, раз она так подставилась - почему же ж нет.
Никакого другого смысла прождав пол-года не согласиться подождать еще пару недель - лично я не вижу.
Капец, GitHub разваливается на глазах! Внукам буду рассказывать, как умирал крупнейший архив open source. Такими темпами от GitHub останется только код в Арктике (см. GitHub Archive Program)
Отставить панику, Иваня. Всё идёт по плану. Какому? Одной M$ известно.
> GitHub останется только код в АрктикеА ты уверен что он там есть ? Дешевая ПР акция какбы
Успокойтесь уже. Ну решила себя порекламтровать контора с ее руководством. Ну другие примчались в этом помогать. Так теперь нужно крик на весь рунет об этом поднимать?
Чёт я не понял как и куда кто-то может подставить своё действие. Если я использую чужую action, она могла, может и всегда будет мочь сделать абсолютно что угодно в рамках запуска action, разве нет? Это вполне ожидаемо.А вообще должен сказать что попробовал миграцию с Travis (который скурвился - время ожидания в очереди выросло до десятков часов, хотят чтобы пользователи мигрировали на travis.com с ограничениями, который запрашивает невменяемых доступов с полным r/w к репозиториям) на actions и очень доволен. CI на actions работает в разы быстрее, не требует выдачи доступов каким-то третьим сервисам, образы ubuntu там новее и лучше устроены с точки зрения свежего софта, например работабщий pg13 из коробки, сразу есть винда, что позволяет отказаться ещё и от yблюдского appveyor, и конфиг получается намного чище и гранулярнее. Всем советую.
Злоумышленник может написать любой код для PR. Именно поэтому, нельзя билдить каждый PR от случайных людей.
Запрет на ## в issue.title решило бы проблему?
для тех кто парсит issue title - решило бы. Для тех кто парсит что-то другое - не решило бы.Ибо нехрен мешать необработанные данные с кодом.
Славные ручки микрософт.
Здравствуй, дырявый unix-way! Давненько на опеннете не писали про тупейшие ошибки вызываемые пайпами, переменными окружениями и дебильным способом передачи аргументов дочернему процессу.