GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения

GitHub раскрыл сведения об уязвимости, позволяющей получить доступ к содержимому переменных окружений, выставленных в контейнерах, применяемых в рабочей инфраструктуре. Уязвимость была выявлена участником программы Bug Bounty, претендующим на получение вознаграждения за поиск проблем с безопасностью. Проблема затрагивает как сервис GitHub.com, так и конфигурации GitHub Enterprise Server (GHES), выполняемые на системах пользователей.

Анализ логов и аудит инфраструктуры не выявил следов эксплуатации уязвимости в прошлом кроме активности исследователя, сообщившего о проблеме. Тем не менее, в инфраструктуре была инициирована замена всех ключей шифрования и учётных данных, которые могли быть потенциально скомпрометированы в случае эксплуатации уязвимости злоумышленником. Замена внутренних ключей привела к нарушению работы некоторых сервисов с 27 по 29 декабря. Администраторы GitHub попытались учесть допущенные ошибки при произведённом вчера обновлении ключей, затрагивающих клиентов.

Среди прочего был обновлён GPG-ключ, используемый для заверения цифровой подписью коммитов, создаваемых через web-редактор GitHub при принятии pull-запросов на сайте или через инструментарий Codespace. Старый ключ прекратил своё действие 16 января в 23 часа по московскому времени, и вместо него со вчерашнего дня применяется новый ключ. Начиная с 23 января все новые коммиты, подписанные прошлым ключом, не будут помечены на сайте GitHub как верифицированные.

16 января также обновлены открытые ключи, используемые для шифрования пользователем данных, отправляемых через API в GitHub Actions, GitHub Codespaces и Dependabot. Пользователям, применяющим для локальной проверки коммитов и шифрования передаваемых данных открытые ключи, принадлежащие GitHub, рекомендуется удостовериться, что они обновили GPG-ключи GitHub, и их системы продолжают функционировать после произведённой замены ключей.

Компания GitHub уже устранила уязвимость на сайте GitHub.com и выпустила обновление продукта GHES 3.8.13, 3.9.8, 3.10.5 и 3.11.3, в котором отмечено исправление CVE-2024-0200 (небезопасное использование отражений, приводящее к выполнению кода или контролируемых пользователем методов на стороне сервера). Атака на локальные установки GHES могла быть произведена при наличии у злоумышленника учётной записи с правами управления организацией (organization owner).

Источник: opennet.ru