Evitare la command injection in un workflow di GitHub

Matteo Tumiati, in DevOps, l'8 giugno 2023 alle 08:00

DevOpsGitHubYAML

La security è un tema importante per tutto il ciclo di vita del software e delle nostre infrastrutture. Tuttavia, ciò che tendiamo ad ignorare è che anche le pipeline ormai sono scritte come codice e, pertanto, anch'esse sono a tutti gli effetti vulnerabili e soggette a potenziali attacchi. In quanto tali, vanno protette.

Analizziamo il seguente step di esempio:

- name: Check PR title
  run: |
    title="${{ github.event.pull_request.title }}"
    if [[ $title =~ ^ASPItalia ]]; then
      echo "Il titolo della PR inizia per 'ASPItalia'"
    else
      echo "Il titolo della PR non inizia per 'ASPItalia'"
    fi

Il codice sembra piuttosto banale: viene messo in esecuzione uno step che crea uno script bash da eseguire in linea. Come primo passaggio di questo script, viene assegnato alla variabile title il valore della proprietà title della pull request che ha scatenato l'esecuzione del workflow. Dopodichè, viene fatto un controllo per capire se la stringa inizia o no con la parola 'ASPItalia'.

Sebbene questo codice possa sembrare innocuo, non lo è affatto. Infatti, la sintassi "${{ }}", unita al fatto che lo script viene eseguito in linea, fa sì che il valore venga sostituito prima dell'esecuzione dello script, rendendoci vulnerabili a shell command injection. Se creiamo una PR con il titolo "a"; ls $GITHUB_WORKSPACE"", stiamo di fatto rimpiazzando il codice di prima con questo:

- name: Check PR title
  run: |
    title=""a"; ls $GITHUB_WORKSPACE""

In questo caso non viene eseguito niente di malevolo in quanto viene solo stampata la lista dei file disponibili nella root del repository, ma è evidente che può essere sfruttato per altri scopi. Se questo codice fosse eseguito in un self-hosted agent/runner, potremmo eliminare tutti i file del file-system o accedere a dati sensibili e farne una copia in una location remota.

Per fortuna la risoluzione è piuttosto semplice e, in questo caso, ci sono due valide opzioni. Seguendo la prima strada, possiamo creare una composite action, mentre l'alternativa è di passare il valore come variabile d'ambiente:

- name: Check PR title
  env:
    TITLE: ${{ github.event.pull_request.title }}
  run: |
    if [[ "$TITLE" =~ ^ASPItalia ]]; then
      echo "Il titolo della PR inizia per 'ASPItalia'"
    fi

In questo modo la valutazione del valore verrà fatto in-memory e assegnato alla variabile correttamente (di fatto, stiamo eliminando i doppi apici).

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Evitare la command injection in un workflow di GitHub

Commenti

Approfondimenti

Generare file PDF da Blazor WebAssembly con iText

Utilizzare un service principal per accedere a Azure Container Registry

Implementare l'infinite scroll con QuickGrid in Blazor Server

Copiare automaticamente le secret tra più repository di GitHub

Esportare ed analizzare le issue di GitHub con la CLI e GraphQL

Miglioramenti nell'accessibilità con Angular CDK

Eseguire una query su SQL Azure tramite un workflow di GitHub

Ottenere il contenuto di una cartella FTP con la libreria FluentFTP

Registrare servizi multipli tramite chiavi in ASP.NET Core 8

Utilizzare le collection expression in C#

Utilizzare gli snapshot con Azure File shares

I più letti di oggi

Script via e-mail

In primo piano

.NET Conference Italia 2023 - Milano e Online

Le novità di .NET 7 e C# 11

Le novità in ASP.NET Core e Blazor con .NET 7

Le novità di Entity Framework (Core) 7

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.