11月15日GitHub开发团队指出,该程序代码存储库存在高风险漏洞CVE-2024-52308,这项漏洞出现于其命令行界面(CLI),一旦遭到利用,在用户连接到恶意的Codespace SSH服务器,并下达gh codespace ssh或gh codespace logs指令的情况下,攻击者就有机会远程执行任意程序代码(RCE),CVSS风险评为8.1,GitHub发布2.62.0版修补。
对于这项弱点发生的原因,GitHub表示,这项弱点的起因是命令行界面在执行指令的过程中,处理SSH连接导致。当开发人员连接到远程的Codespace,通常会使用执行开发容器(devcontainer)的SSH服务器来访问,而这类容器的构建,大多使用默认的镜像文件。
一旦外部的恶意开发容器在SSH服务器注入,并通过相关参数带入SSH连接详细数据,此时攻击者就有机会借由gh codespace ssh或gh codespace logs指令执行,于用户的工作站计算机执行任意程序代码,甚至有可能借此访问系统上用户的数据。
对此,开发团队发布新版修补上述漏洞,若是无法及时更新,IT人员应该在导入开发容器镜像文件的过程特别留意,最好采用受信任来源的镜像文件。
