CVE-2020-15228 : une vulnérabilité grave sur la plateforme GitHub
Après avoir révélé une faille au sein de Windows, nous apprenons que les chercheurs de l'équipe Project Zero de chez Google ont découvert une nouvelle vulnérabilité : cette fois-ci au sein de la plateforme GitHub, dont Microsoft est le propriétaire.
Cette faille de sécurité critique est située au sein de la fonctionnalité "Actions" de GitHub et elle permet une attaque par injection. Alors qu'il s'est passé 90 jours depuis que l'équipe Project Zero a informé GitHub de ce problème de sécurité, celui-ci n'est pas résolu. Étonnant puisque selon Google, 95,8% des failles sont corrigées en respectant ce délai de 90 jours. Plus précisément, le signalement a eu lieu le 21 juillet 2020, ce qui laissait aux équipes de GitHub jusqu'au 18 octobre pour corriger cette faille.
D'après Felix Wilhelm, de l’équipe Project Zero, la majorité des dépôts populaires de GitHub sont vulnérables. En fait, tout dépend des commandes de flux de travail définies dans Actions au niveau du dépôt.
Pour l'heure, la résolution de ce bug est assez floue : de son côté GitHub indique que les commandes vulnérables sont prêtes à être désactivées, tout en demandant à chaque fois un délai supplémentaire à l'équipe de Project Zero afin que la faille ne soit pas divulguée. En fait, GitHub a fait le mort malgré des interrogations de Project Zero... Avant de dire que tout était résolu, puis de dire l'inverse un jour avant la fin du délai imparti et qu'ils ne seraient pas prêt d'ici le 2 novembre.
À force de relance et d'accepter des jours de grâce supplémentaires, soit 14 jours de grâce au total, Project Zero a procédé à la divulgation de cette faille, car selon sa politique, le délai ne peut excéder 104 jours.