Pwning the Entire Nix Ecosystem
7 months ago
- #nixpkgs
- #github-actions
- #security
- 在nixpkgs中发现了一个漏洞,可能通过注入恶意代码危害整个Nix生态系统。
- 该漏洞存在于使用`pull_request_target`触发器的GitHub Actions工作流中,该触发器默认具有读写和密钥访问权限。
- 发现了两处具体漏洞:一处是使用`xargs`的EditorConfig工作流(命令注入漏洞),另一处是CODEOWNERS工作流(本地文件包含导致凭证泄露)。
- Nixpkgs维护团队迅速报告并修复了这些漏洞,包括禁用易受攻击的工作流,以及将不受信任的数据与特权操作分离。
- 关键经验包括:避免将不受信任的数据与密钥混用、最小化权限分配,以及仔细阅读有关权限的文档说明。
- 文末提供了延伸学习资源和原始闪电演讲的获取方式。