Bazel, yazılımın inşa edilmesi ve test edilmesini otomatikleştiren yaygın kullanılan açık kaynaklı bir araçtır ve önemli bir güvenlik sorunu ile karşı karşıya kalmıştır. Bu güvenlik açığı, yetkisiz kod enjeksiyonu riski taşıyarak, Bazel kullanan herhangi bir projenin kötü niyetli kişiler tarafından tehlikeye atılmasına olanak tanımıştır.
Geniş Etki Alanı ve Hızlı Çözüm
Bazel’in temel bir bileşen olarak birçok yüksek profilli projede kullanılması nedeniyle, bu kusurun keşfi birçok kişiyi alarma geçirmiştir. Google, Uber ve Nvidia gibi endüstri devleri tarafından geniş çapta kullanılması, hatanın kritik doğasını vurgulamaktadır. Neyse ki, zafiyet hızla Google’a bildirilmiş ve akabinde yapılan güncellemelerle sorunlu iş akışı hızla giderilerek Bazel’in geniş kullanıcı kitlesine yönelik risk azaltılmıştır.
İş Akışı Zafiyetinin Detayları
Bazel, çeşitli geliştirme görevlerini otomatikleştirmek için Docker, JavaScript ve Kompozit eylemler de dahil olmak üzere GitHub eylemlerini kullanmaktadır. Zafiyet özellikle, inşa sürecinde kullanılan kompozit eylemlere yönelikti ve yetkisiz komutların çalıştırılmasına neden olabilecek şekilde manipüle edilebilirdi.
İş Akışı İzinleri ve Yürütme
Yapılan incelemeler, belirli GitHub sorun aktiviteleri üzerinde otomatik olarak tetiklenen cherry-picker iş akışına geniş yetkiler verildiğini ortaya çıkarmıştır. Bu iş akışı, belirli bir kilometre taşına ulaşan sorunlarla etkileşime girdiğinde, kötü niyetli kodun enjekte edilmesine yanlışlıkla izin veren işleri çalıştırırdı.
Kompozit Eylemin Sömürülmesi
Sömürü, kompozit eylemler içindeki kabuk betiklerine girdilerin geçirilmesine dayanıyordu. Kötü niyetli bir yük içeren özel olarak tasarlanmış bir sorun oluşturarak, bir saldırgan iş akışını başlatabilir ve zararlı kodun yürütülmesine yol açabilirdi. Bu saldırı yöntemi, görünüşte zararsız otomatik süreçlerin içindeki potansiyel tehlikeleri vurgulamıştır.
Özetle, Bazel’in otomasyon sürecindeki güvenlik açığı geniş çaplı sonuçlara yol açabilirdi, ancak hızlı yanıt olası bir krizi önlemiştir. Bazel kullanıcıları, aracın güçlendirilmiş güvenlik önlemleriyle çalışmalarına güvenle devam edebilirler.
- Bazel’de ciddi bir güvenlik açığı tespit edildi.
- Hata hızla giderilerek risk azaltıldı.
- Kullanıcılar, güçlendirilmiş güvenlikle işlerine devam ediyor.
