GitHub het 'n kwesbaarheid geopenbaar wat toegang verleen tot die inhoud van omgewingsveranderlikes wat blootgestel word in houers wat in produksie-infrastruktuur gebruik word. Die kwesbaarheid is ontdek deur 'n Bug Bounty-deelnemer wat 'n beloning soek vir die vind van sekuriteitskwessies. Die probleem raak beide die GitHub.com-diens en GitHub Enterprise Server (GHES)-konfigurasies wat op gebruikersstelsels loop.
Ontleding van die logs en oudit van die infrastruktuur het geen spore van uitbuiting van die kwesbaarheid in die verlede aan die lig gebring nie, behalwe vir die aktiwiteit van die navorser wat die probleem aangemeld het. Die infrastruktuur is egter begin om alle enkripsiesleutels en geloofsbriewe te vervang wat moontlik gekompromitteer kan word as die kwesbaarheid deur 'n aanvaller uitgebuit word. Die vervanging van interne sleutels het gelei tot ontwrigting van sommige dienste van 27 tot 29 Desember. GitHub-administrateurs het probeer om die foute in ag te neem wat gemaak is tydens die opdatering van sleutels wat kliënte affekteer wat gister gemaak is.
Onder andere, die GPG-sleutel wat gebruik word om commits digitaal te onderteken wat deur die GitHub-webredigeerder geskep is wanneer trekversoeke op die webwerf of deur die Codespace-nutsmiddel aanvaar word, is opgedateer. Die ou sleutel het op 16 Januarie om 23:23 Moskou-tyd opgehou om geldig te wees, en 'n nuwe sleutel is in plaas daarvan sedert gister gebruik. Vanaf XNUMX Januarie sal alle nuwe verbintenisse wat met die vorige sleutel onderteken is, nie as geverifieer op GitHub gemerk word nie.
16 Januarie het ook die publieke sleutels opgedateer wat gebruik word om gebruikersdata te enkripteer wat via die API na GitHub Actions, GitHub Codespaces en Dependabot gestuur is. Gebruikers wat publieke sleutels wat deur GitHub besit word gebruik om commits plaaslik na te gaan en data in vervoer te enkripteer, word aangeraai om te verseker dat hulle hul GitHub GPG-sleutels opgedateer het sodat hul stelsels aanhou funksioneer nadat die sleutels verander is.
GitHub het reeds die kwesbaarheid op GitHub.com reggestel en 'n produkopdatering vir GHES 3.8.13, 3.9.8, 3.10.5 en 3.11.3 vrygestel, wat 'n oplossing vir CVE-2024-0200 insluit (onveilige gebruik van refleksies wat lei tot kode-uitvoering of gebruiker-beheerde metodes aan die bedienerkant). 'n Aanval op plaaslike GHES-installasies kan uitgevoer word as die aanvaller 'n rekening met organisasie-eienaarsregte gehad het.
Bron: opennet.ru