GitHub ΠΎΠ±Π½ΠΎΠ²ΠΈΠ» GPG-ΠΊΠ»ΡŽΡ‡ΠΈ ΠΈΠ·-Π·Π° уязвимости, приводящСй ΠΊ ΡƒΡ‚Π΅Ρ‡ΠΊΠ΅ ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ… окруТСния

GitHub раскрыл свСдСния ΠΎΠ± уязвимости, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π΅ΠΉ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ содСрТимому ΠΏΠ΅Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Ρ… ΠΎΠΊΡ€ΡƒΠΆΠ΅Π½ΠΈΠΉ, выставлСнных Π² ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Π°Ρ…, примСняСмых Π² Ρ€Π°Π±ΠΎΡ‡Π΅ΠΉ инфраструктурС. Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π±Ρ‹Π»Π° выявлСна участником ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Bug Bounty, ΠΏΡ€Π΅Ρ‚Π΅Π½Π΄ΡƒΡŽΡ‰ΠΈΠΌ Π½Π° ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½ΠΈΠ΅ вознаграТдСния Π·Π° поиск ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌ с Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒΡŽ. ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ ΠΊΠ°ΠΊ сСрвис GitHub.com, Ρ‚Π°ΠΊ ΠΈ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ GitHub Enterprise Server (GHES), выполняСмыС Π½Π° систСмах ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ.

Анализ Π»ΠΎΠ³ΠΎΠ² ΠΈ Π°ΡƒΠ΄ΠΈΡ‚ инфраструктуры Π½Π΅ выявил слСдов эксплуатации уязвимости Π² ΠΏΡ€ΠΎΡˆΠ»ΠΎΠΌ ΠΊΡ€ΠΎΠΌΠ΅ активности исслСдоватСля, ΡΠΎΠΎΠ±Ρ‰ΠΈΠ²ΡˆΠ΅Π³ΠΎ ΠΎ ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ΅. Π’Π΅ΠΌ Π½Π΅ ΠΌΠ΅Π½Π΅Π΅, Π² инфраструктурС Π±Ρ‹Π»Π° ΠΈΠ½ΠΈΡ†ΠΈΠΈΡ€ΠΎΠ²Π°Π½Π° Π·Π°ΠΌΠ΅Π½Π° всСх ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΈ ΡƒΡ‡Ρ‘Ρ‚Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ…, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠ³Π»ΠΈ Π±Ρ‹Ρ‚ΡŒ ΠΏΠΎΡ‚Π΅Π½Ρ†ΠΈΠ°Π»ΡŒΠ½ΠΎ скомпромСтированы Π² случаС эксплуатации уязвимости Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠΌ. Π—Π°ΠΌΠ΅Π½Π° Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½ΠΈΡ… ΠΊΠ»ΡŽΡ‡Π΅ΠΉ ΠΏΡ€ΠΈΠ²Π΅Π»Π° ΠΊ Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡŽ Ρ€Π°Π±ΠΎΡ‚Ρ‹ Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… сСрвисов с 27 ΠΏΠΎ 29 дСкабря. Администраторы GitHub ΠΏΠΎΠΏΡ‹Ρ‚Π°Π»ΠΈΡΡŒ ΡƒΡ‡Π΅ΡΡ‚ΡŒ Π΄ΠΎΠΏΡƒΡ‰Π΅Π½Π½Ρ‹Π΅ ошибки ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠΈΠ·Π²Π΅Π΄Ρ‘Π½Π½ΠΎΠΌ Π²Ρ‡Π΅Ρ€Π° ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠΈ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ, Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°ΡŽΡ‰ΠΈΡ… ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ².

Π‘Ρ€Π΅Π΄ΠΈ ΠΏΡ€ΠΎΡ‡Π΅Π³ΠΎ Π±Ρ‹Π» ΠΎΠ±Π½ΠΎΠ²Π»Ρ‘Π½ GPG-ΠΊΠ»ΡŽΡ‡, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹ΠΉ для завСрСния Ρ†ΠΈΡ„Ρ€ΠΎΠ²ΠΎΠΉ подписью ΠΊΠΎΠΌΠΌΠΈΡ‚ΠΎΠ², создаваСмых Ρ‡Π΅Ρ€Π΅Π· web-Ρ€Π΅Π΄Π°ΠΊΡ‚ΠΎΡ€ GitHub ΠΏΡ€ΠΈ принятии pull-запросов Π½Π° сайтС ΠΈΠ»ΠΈ Ρ‡Π΅Ρ€Π΅Π· инструмСнтарий Codespace. Π‘Ρ‚Π°Ρ€Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡ ΠΏΡ€Π΅ΠΊΡ€Π°Ρ‚ΠΈΠ» своё дСйствиС 16 января Π² 23 часа ΠΏΠΎ московскому Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ, ΠΈ вмСсто Π½Π΅Π³ΠΎ со Π²Ρ‡Π΅Ρ€Π°ΡˆΠ½Π΅Π³ΠΎ дня примСняСтся Π½ΠΎΠ²Ρ‹ΠΉ ΠΊΠ»ΡŽΡ‡. Начиная с 23 января всС Π½ΠΎΠ²Ρ‹Π΅ ΠΊΠΎΠΌΠΌΠΈΡ‚Ρ‹, подписанныС ΠΏΡ€ΠΎΡˆΠ»Ρ‹ΠΌ ΠΊΠ»ΡŽΡ‡ΠΎΠΌ, Π½Π΅ Π±ΡƒΠ΄ΡƒΡ‚ ΠΏΠΎΠΌΠ΅Ρ‡Π΅Π½Ρ‹ Π½Π° сайтС GitHub ΠΊΠ°ΠΊ Π²Π΅Ρ€ΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅.

16 января Ρ‚Π°ΠΊΠΆΠ΅ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½Ρ‹ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ ΠΊΠ»ΡŽΡ‡ΠΈ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΡ‹Π΅ для ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ Π΄Π°Π½Π½Ρ‹Ρ…, отправляСмых Ρ‡Π΅Ρ€Π΅Π· API Π² GitHub Actions, GitHub Codespaces ΠΈ Dependabot. ΠŸΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌ, ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡŽΡ‰ΠΈΠΌ для локальной ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΊΠΎΠΌΠΌΠΈΡ‚ΠΎΠ² ΠΈ ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Π΅ΠΌΡ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Π΅ ΠΊΠ»ΡŽΡ‡ΠΈ, ΠΏΡ€ΠΈΠ½Π°Π΄Π»Π΅ΠΆΠ°Ρ‰ΠΈΠ΅ GitHub, рСкомСндуСтся ΡƒΠ΄ΠΎΡΡ‚ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒΡΡ, Ρ‡Ρ‚ΠΎ ΠΎΠ½ΠΈ ΠΎΠ±Π½ΠΎΠ²ΠΈΠ»ΠΈ GPG-ΠΊΠ»ΡŽΡ‡ΠΈ GitHub, ΠΈ ΠΈΡ… систСмы ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠ°ΡŽΡ‚ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ послС ΠΏΡ€ΠΎΠΈΠ·Π²Π΅Π΄Ρ‘Π½Π½ΠΎΠΉ Π·Π°ΠΌΠ΅Π½Ρ‹ ΠΊΠ»ΡŽΡ‡Π΅ΠΉ.

Компания GitHub ΡƒΠΆΠ΅ устранила ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π½Π° сайтС GitHub.com ΠΈ выпустила ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π° GHES 3.8.13, 3.9.8, 3.10.5 ΠΈ 3.11.3, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ ΠΎΡ‚ΠΌΠ΅Ρ‡Π΅Π½ΠΎ исправлСниС CVE-2024-0200 (нСбСзопасноС использованиС ΠΎΡ‚Ρ€Π°ΠΆΠ΅Π½ΠΈΠΉ, приводящСС ΠΊ Π²Ρ‹ΠΏΠΎΠ»Π½Π΅Π½ΠΈΡŽ ΠΊΠΎΠ΄Π° ΠΈΠ»ΠΈ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΠΈΡ€ΡƒΠ΅ΠΌΡ‹Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΌ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² Π½Π° сторонС сСрвСра). Атака Π½Π° Π»ΠΎΠΊΠ°Π»ΡŒΠ½Ρ‹Π΅ установки GHES ΠΌΠΎΠ³Π»Π° Π±Ρ‹Ρ‚ΡŒ ΠΏΡ€ΠΎΠΈΠ·Π²Π΅Π΄Π΅Π½Π° ΠΏΡ€ΠΈ Π½Π°Π»ΠΈΡ‡ΠΈΠΈ Ρƒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠ° ΡƒΡ‡Ρ‘Ρ‚Π½ΠΎΠΉ записи с ΠΏΡ€Π°Π²Π°ΠΌΠΈ управлСния ΠΎΡ€Π³Π°Π½ΠΈΠ·Π°Ρ†ΠΈΠ΅ΠΉ (organization owner).

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru