كشف GitHub عن ثغرة أمنية تسمح بالوصول إلى محتويات متغيرات البيئة المكشوفة في الحاويات المستخدمة في البنية التحتية للإنتاج. تم اكتشاف الثغرة الأمنية بواسطة أحد المشاركين في Bug Bounty الذي كان يسعى للحصول على مكافأة مقابل العثور على مشكلات أمنية. تؤثر المشكلة على كل من خدمة GitHub.com وتكوينات GitHub Enterprise Server (GHES) التي تعمل على أنظمة المستخدم.
ولم يكشف تحليل السجلات وتدقيق البنية التحتية عن أي آثار لاستغلال الثغرة في السابق باستثناء نشاط الباحث الذي أبلغ عن المشكلة. ومع ذلك، تم إنشاء البنية التحتية لاستبدال كافة مفاتيح التشفير وبيانات الاعتماد التي من المحتمل أن تتعرض للخطر إذا تم استغلال الثغرة الأمنية من قبل مهاجم. وأدى استبدال المفاتيح الداخلية إلى انقطاع بعض الخدمات في الفترة من 27 إلى 29 ديسمبر. حاول مسؤولو GitHub أن يأخذوا في الاعتبار الأخطاء التي حدثت أثناء تحديث المفاتيح التي تؤثر على العملاء التي تم إجراؤها بالأمس.
من بين أشياء أخرى، تم تحديث مفتاح GPG المستخدم للتوقيع رقميًا على الالتزامات التي تم إنشاؤها من خلال محرر الويب GitHub عند قبول طلبات السحب على الموقع أو من خلال مجموعة أدوات Codespace. لم يعد المفتاح القديم صالحًا في 16 يناير الساعة 23:23 بتوقيت موسكو، وتم استخدام مفتاح جديد بدلاً من ذلك منذ الأمس. بدءًا من XNUMX يناير، لن يتم وضع علامة على جميع الالتزامات الجديدة الموقعة بالمفتاح السابق على أنها تم التحقق منها على GitHub.
قام 16 يناير أيضًا بتحديث المفاتيح العامة المستخدمة لتشفير بيانات المستخدم المرسلة عبر واجهة برمجة التطبيقات إلى GitHub Actions وGitHub Codespaces وDependabot. يُنصح المستخدمون الذين يستخدمون المفاتيح العامة المملوكة لـ GitHub للتحقق من الالتزامات محليًا وتشفير البيانات أثناء النقل بالتأكد من قيامهم بتحديث مفاتيح GitHub GPG الخاصة بهم حتى تستمر أنظمتهم في العمل بعد تغيير المفاتيح.
قام GitHub بالفعل بإصلاح الثغرة الأمنية على GitHub.com وأصدر تحديث منتج لـ GHES 3.8.13 و3.9.8 و3.10.5 و3.11.3، والذي يتضمن إصلاحًا لـ CVE-2024-0200 (الاستخدام غير الآمن للانعكاسات التي تؤدي إلى تنفيذ التعليمات البرمجية أو الأساليب التي يتحكم فيها المستخدم من جانب الخادم). يمكن تنفيذ هجوم على منشآت GHES المحلية إذا كان لدى المهاجم حساب يتمتع بحقوق مالك المنظمة.
المصدر: opennet.ru