GitHub je otkrio ranjivost koja omogućava pristup sadržaju varijabli okruženja izloženih u kontejnerima koji se koriste u proizvodnoj infrastrukturi. Ranjivost je otkrio učesnik Bug Bountyja koji je tražio nagradu za pronalaženje sigurnosnih problema. Problem utiče i na uslugu GitHub.com i na konfiguracije GitHub Enterprise Servera (GHES) koje rade na korisničkim sistemima.
Analiza evidencije i revizija infrastrukture nisu otkrili nikakve tragove eksploatacije ranjivosti u prošlosti osim aktivnosti istraživača koji je prijavio problem. Međutim, infrastruktura je pokrenuta kako bi zamijenila sve ključeve za šifriranje i vjerodajnice koje bi potencijalno mogle biti ugrožene ako je ranjivost iskoristio napadač. Zamjena internih ključeva dovela je do prekida rada nekih usluga od 27. do 29. decembra. Administratori GitHub-a pokušali su da uzmu u obzir greške napravljene tokom jučerašnjeg ažuriranja ključeva koji su uticali na klijente.
Između ostalog, ažuriran je GPG ključ koji se koristi za digitalno potpisivanje urezivanja kreiranih putem GitHub web uređivača prilikom prihvaćanja zahtjeva za povlačenjem na web-mjestu ili preko Codespace alata. Stari ključ je prestao da važi 16. januara u 23 sata po moskovskom vremenu, a od juče se umesto njega koristi novi ključ. Počevši od 23. januara, sva nova urezivanja potpisana prethodnim ključem neće biti označena kao verifikovana na GitHubu.
16. januar je takođe ažurirao javne ključeve koji se koriste za šifrovanje korisničkih podataka poslatih preko API-ja na GitHub Actions, GitHub Codespaces i Dependabot. Korisnicima koji koriste javne ključeve u vlasništvu GitHuba za lokalnu provjeru urezivanja i šifriranje podataka u prijenosu savjetuje se da osiguraju da su ažurirali svoje GitHub GPG ključeve kako bi njihovi sistemi i dalje funkcionirali nakon promjene ključeva.
GitHub je već popravio ranjivost na GitHub.com i objavio ažuriranje proizvoda za GHES 3.8.13, 3.9.8, 3.10.5 i 3.11.3, koje uključuje ispravku za CVE-2024-0200 (nebezbedno korišćenje refleksija koje dovodi do izvršenje koda ili metode koje kontrolira korisnik na strani servera). Napad na lokalne GHES instalacije mogao bi se izvršiti ako je napadač imao nalog s vlasničkim pravima organizacije.
izvor: opennet.ru