GitHub በምርት መሠረተ ልማት ውስጥ ጥቅም ላይ በሚውሉ ኮንቴይነሮች ውስጥ የተጋለጡ የአካባቢ ተለዋዋጮች ይዘቶችን ለማግኘት የሚያስችል ተጋላጭነትን አሳይቷል። ተጋላጭነቱ የደህንነት ጉዳዮችን በማግኘቱ ሽልማት በሚፈልግ የBug Bounty ተሳታፊ ተገኝቷል። ችግሩ በሁለቱም የ GitHub.com አገልግሎት እና በተጠቃሚ ሲስተሞች ላይ የሚሰሩ የ GitHub Enterprise Server (GHES) ውቅሮችን ይነካል።
የመሰረተ ልማት ምዝግብ ማስታወሻዎች እና ኦዲት ትንተና ከዚህ ቀደም ችግሩን ከዘገበው ተመራማሪው እንቅስቃሴ በስተቀር የተጋላጭነት ብዝበዛ ፍንጭ አላሳየም። ሆኖም መሰረተ ልማቱ የጀመረው ተጋላጭነቱ በአጥቂ ከተበዘበዘ ሊበላሹ የሚችሉትን ሁሉንም የኢንክሪፕሽን ቁልፎች እና ምስክርነቶች ለመተካት ነው። የውስጥ ቁልፎች መተካት ከዲሴምበር 27 እስከ 29 አንዳንድ አገልግሎቶች እንዲስተጓጉሉ አድርጓል። የ GitHub አስተዳዳሪዎች ትላንት የተደረጉ ደንበኞችን የሚነኩ ቁልፎችን በማዘመን ወቅት የተሰሩትን ስህተቶች ግምት ውስጥ ለማስገባት ሞክረዋል።
ከሌሎች ነገሮች በተጨማሪ፣ በጣቢያው ላይ ወይም በኮድስፔስ Toolkit በኩል የመሳብ ጥያቄዎችን ሲቀበሉ በ GitHub ድር አርታኢ በኩል የተፈጠሩ ቁርጠኝነትን ለመፈረም የሚያገለግለው የጂፒጂ ቁልፍ ተዘምኗል። የድሮው ቁልፍ በጃንዋሪ 16 ከቀኑ 23፡23 በሞስኮ ሰዓት መስራቱን ያቆመ ሲሆን በምትኩ አዲስ ቁልፍ ከትናንት ጀምሮ ጥቅም ላይ ውሏል። ከጃንዋሪ XNUMX ጀምሮ በቀድሞው ቁልፍ የተፈረሙ ሁሉም አዲስ ቃላቶች በ GitHub ላይ እንደተረጋገጡ ምልክት አይደረግባቸውም።
ጃኑዋሪ 16 እንዲሁም በኤፒአይ ወደ GitHub Actions፣ GitHub Codespaces እና Dependabot የተላከውን የተጠቃሚ ውሂብ ለማመስጠር ስራ ላይ የዋሉትን የህዝብ ቁልፎች አዘምኗል። በGitHub ባለቤትነት የተያዙ የህዝብ ቁልፎችን የሚጠቀሙ ተጠቃሚዎች በአገር ውስጥ መፈጸምን ለመፈተሽ እና በትራንዚት ላይ ያሉ መረጃዎችን ኢንክሪፕት የሚያደርጉ ተጠቃሚዎች የ GitHub GPG ቁልፎቻቸውን ማዘመን እንዲችሉ እና ቁልፎቹ ከተቀየሩ በኋላ ስርዓቶቻቸው መስራታቸውን እንዲቀጥሉ ይመከራሉ።
GitHub ቀድሞውንም ተጋላጭነቱን በ GitHub.com ላይ አስተካክሎ ለGHES 3.8.13፣ 3.9.8፣ 3.10.5 እና 3.11.3 የምርት ማሻሻያ አውጥቷል፣ ይህም ለCVE-2024-0200 ማስተካከልን ያካትታል (አስተማማኝ የአንፀባራቂ አጠቃቀምን ያስከትላል። በአገልጋዩ በኩል ኮድ ማስፈጸሚያ ወይም በተጠቃሚ ቁጥጥር የሚደረግባቸው ዘዴዎች)። አጥቂው የድርጅት ባለቤትነት መብት ያለው አካውንት ካለው በአካባቢው የ GHES ጭነቶች ላይ ጥቃት ሊፈጸም ይችላል።
ምንጭ: opennet.ru