GitHub раскрыў звесткі аб уразлівасці, якая дазваляе атрымаць доступ да змесціва зменных асяроддзяў, выстаўленых у кантэйнерах, якія выкарыстоўваюцца ў працоўнай інфраструктуры. Уразлівасць была выяўлена ўдзельнікам праграмы Bug Bounty, які прэтэндуе на атрыманне ўзнагароды за пошук праблем з бяспекай. Праблема закранае як сэрвіс GitHub.com, так і канфігурацыі GitHub Enterprise Server (GHES), якія выконваюцца на сістэмах карыстальнікаў.
Аналіз логаў і аўдыт інфраструктуры не выявіў слядоў эксплуатацыі ўразлівасці ў мінулым акрамя актыўнасці даследніка, які паведаміў аб праблеме. Тым не менш, у інфраструктуры была ініцыяваная замена ўсіх ключоў шыфравання і ўліковых дадзеных, якія маглі быць патэнцыйна скампраметаваныя ў выпадку эксплуатацыі ўразлівасці зламыснікам. Замена ўнутраных ключоў прывяла да парушэння працы некаторых сервісаў з 27 па 29 снежня. Адміністратары GitHub паспрабавалі ўлічыць дапушчаныя памылкі пры зробленым учора абнаўленні ключоў, якія закранаюць кліентаў.
Сярод іншага быў абноўлены GPG-ключ, які выкарыстоўваецца для запэўнення лічбавым подпісам коммітаў, якiя ствараюцца праз web-рэдактар GitHub пры прыняцці pull-запытаў на сайце або праз інструментар Codespace. Стары ключ спыніў сваё дзеянне 16 студзеня ў 23 гадзіны па маскоўскім часе, і замест яго са ўчорашняга дня ўжываецца новы ключ. Пачынаючы з 23 студзеня ўсе новыя коміты, падпісаныя мінулым ключом, не будуць пазначаныя на сайце GitHub як верыфікаваныя.
16 студзеня таксама абноўлены адкрытыя ключы, якія выкарыстоўваюцца для шыфравання карыстальнікам даных, якія адпраўляюцца праз API у GitHub Actions, GitHub Codespaces і Dependabot. Карыстачам, якія ўжываюць для лакальнай праверкі коммітаў і шыфраванні перадаваных дадзеных адчыненыя ключы, прыналежныя GitHub, рэкамендуецца пераканацца, што яны абнавілі GPG-ключы GitHub, і іх сістэмы працягваюць функцыянаваць пасля вырабленай замены ключоў.
Кампанія GitHub ужо ўхіліла ўразлівасць на сайце GitHub.com і выпусціла абнаўленне прадукта GHES 3.8.13, 3.9.8, 3.10.5 і 3.11.3, у якім адзначана выпраўленне CVE-2024-0200 (небяспечнае выкарыстанне адлюстраванняў, якое прыводзіць да выканання кантраляваных карыстальнікам метадаў на баку сервера). Атака на лакальныя ўстаноўкі GHES магла быць праведзена пры наяўнасці ў зламысніка ўліковага запісу з правамі кіравання арганізацыяй (organization owner).
Крыніца: opennet.ru