GitHub istehsal infrastrukturunda istifadə edilən konteynerlərdə ifşa olunan mühit dəyişənlərinin məzmununa giriş imkanı verən zəifliyi açıqlayıb. Zəiflik təhlükəsizlik problemlərini tapdığı üçün mükafat istəyən Bug Bounty iştirakçısı tərəfindən aşkar edilib. Problem həm GitHub.com xidmətinə, həm də istifadəçi sistemlərində işləyən GitHub Enterprise Server (GHES) konfiqurasiyalarına təsir göstərir.
Qeydlərin təhlili və infrastrukturun auditi problemi bildirən tədqiqatçının fəaliyyəti istisna olmaqla, keçmişdə zəiflikdən istifadənin izlərini aşkar etməyib. Bununla belə, zəiflik təcavüzkar tərəfindən istismar edilərsə, potensial təhlükə altına düşə biləcək bütün şifrələmə açarları və etimadnamələri əvəz etmək üçün infrastruktur işə salınıb. Daxili açarların dəyişdirilməsi dekabrın 27-dən 29-dək bəzi xidmətlərin dayandırılmasına səbəb olub. GitHub administratorları dünən edilən müştərilərə təsir edən açarların yenilənməsi zamanı buraxılmış səhvləri nəzərə almağa çalışıblar.
Digər şeylər arasında, saytda çəkmə sorğularını qəbul edərkən və ya Codespace alət dəsti vasitəsilə GitHub veb redaktoru vasitəsilə yaradılan öhdəlikləri rəqəmsal imzalamaq üçün istifadə edilən GPG açarı yeniləndi. Köhnə açar yanvarın 16-da Moskva vaxtı ilə saat 23:23-da fəaliyyətini dayandırıb və dünəndən onun əvəzinə yeni açardan istifadə edilib. Yanvarın XNUMX-dən başlayaraq, əvvəlki açarla imzalanmış bütün yeni öhdəliklər GitHub-da təsdiqlənmiş kimi qeyd olunmayacaq.
16 yanvar, həmçinin API vasitəsilə GitHub Actions, GitHub Codespaces və Dependabot-a göndərilən istifadəçi məlumatlarını şifrələmək üçün istifadə edilən açıq açarları yenilədi. Lokal olaraq öhdəlikləri yoxlamaq və tranzit zamanı məlumatları şifrələmək üçün GitHub-a məxsus açıq açarlardan istifadə edən istifadəçilərə GitHub GPG açarlarını yenilədiklərindən əmin olmaları tövsiyə olunur ki, açarlar dəyişdirildikdən sonra sistemləri işləməyə davam etsin.
GitHub artıq GitHub.com-da zəifliyi düzəldib və CVE-3.8.13-3.9.8 üçün düzəliş daxil olan GHES 3.10.5, 3.11.3, 2024 və 0200 üçün məhsul yeniləməsini buraxdı (fikirlərin təhlükəli istifadəsi kodun icrası və ya server tərəfində istifadəçi tərəfindən idarə olunan üsullar). Təcavüzkarın təşkilat sahibi hüquqlarına malik hesabı varsa, yerli GHES qurğularına hücum həyata keçirilə bilər.
Mənbə: opennet.ru