GitHub ha revelat una vulnerabilitat que permet accedir al contingut de les variables d'entorn exposades en contenidors utilitzats en la infraestructura de producció. La vulnerabilitat va ser descoberta per un participant de Bug Bounty que buscava una recompensa per trobar problemes de seguretat. El problema afecta tant el servei GitHub.com com les configuracions de GitHub Enterprise Server (GHES) que s'executen als sistemes d'usuari.
L'anàlisi dels registres i l'auditoria de la infraestructura no van revelar cap rastre d'explotació de la vulnerabilitat en el passat, excepte l'activitat de l'investigador que va informar del problema. No obstant això, la infraestructura es va iniciar per substituir totes les claus i credencials de xifratge que podrien estar compromeses si la vulnerabilitat fos explotada per un atacant. La substitució de les claus internes va provocar la interrupció d'alguns serveis del 27 al 29 de desembre. Els administradors de GitHub van intentar tenir en compte els errors comesos ahir durant l'actualització de claus que afectaven els clients.
Entre altres coses, s'ha actualitzat la clau GPG que s'utilitza per signar digitalment les confirmacions creades mitjançant l'editor web de GitHub quan s'accepten sol·licituds d'extracció al lloc o mitjançant el conjunt d'eines Codespace. La clau antiga va deixar de ser vàlida el 16 de gener a les 23:23 hora de Moscou, i des d'ahir s'ha utilitzat una nova clau. A partir del XNUMX de gener, tots els nous commits signats amb la clau anterior no es marcaran com a verificats a GitHub.
El 16 de gener també es va actualitzar les claus públiques utilitzades per xifrar les dades dels usuaris enviades mitjançant l'API a GitHub Actions, GitHub Codespaces i Dependabot. Es recomana als usuaris que utilitzen claus públiques propietat de GitHub per comprovar localment les confirmacions i xifrar dades en trànsit que s'assegurin d'haver actualitzat les claus GPG de GitHub perquè els seus sistemes continuïn funcionant després de canviar les claus.
GitHub ja ha corregit la vulnerabilitat a GitHub.com i ha publicat una actualització de producte per a GHES 3.8.13, 3.9.8, 3.10.5 i 3.11.3, que inclou una correcció per a CVE-2024-0200 (ús no segur de reflexions que condueix a execució de codi o mètodes controlats per l'usuari al costat del servidor). Es podria dur a terme un atac a les instal·lacions locals de GHES si l'atacant tingués un compte amb drets de propietari de l'organització.
Font: opennet.ru