Gipadayag sa GitHub ang usa ka kahuyang nga nagtugot sa pag-access sa mga sulud sa mga variable sa kalikopan nga gibutyag sa mga sudlanan nga gigamit sa imprastraktura sa produksiyon. Ang pagkahuyang nadiskubrehan sa usa ka partisipante sa Bug Bounty nga nangita usa ka ganti alang sa pagpangita sa mga isyu sa seguridad. Ang isyu makaapekto sa GitHub.com nga serbisyo ug GitHub Enterprise Server (GHES) nga mga configuration nga nagdagan sa user system.
Ang pag-analisar sa mga log ug pag-audit sa imprastraktura wala magpadayag sa bisan unsang mga timailhan sa pagpahimulos sa kahuyang kaniadto gawas sa kalihokan sa tigdukiduki nga nagtaho sa problema. Bisan pa, ang imprastraktura gisugdan aron mapulihan ang tanan nga mga yawe sa pag-encrypt ug mga kredensyal nga mahimoβg makompromiso kung ang pagkahuyang gipahimuslan sa usa ka tig-atake. Ang pag-ilis sa mga internal nga yawe misangpot sa pagkabalda sa pipila ka mga serbisyo gikan sa Disyembre 27 ngadto sa 29. Gisulayan sa mga tagdumala sa GitHub nga tagdon ang mga sayup nga nahimo sa panahon sa pag-update sa mga yawe nga nakaapekto sa mga kliyente nga nahimo kagahapon.
Lakip sa ubang mga butang, ang GPG key nga gigamit sa digitally sign commits nga gihimo pinaagi sa GitHub web editor sa dihang gi-update ang mga pull request sa site o pinaagi sa Codespace toolkit. Ang daan nga yawe nahunong nga balido sa Enero 16 sa 23:23 nga oras sa Moscow, ug usa ka bag-ong yawe ang gigamit na sugod kagahapon. Sugod sa Enero XNUMX, ang tanan nga mga bag-ong commit nga gipirmahan sa miaging yawe dili markahan nga gipamatud-an sa GitHub.
Gi-update usab sa Enero 16 ang mga yawe sa publiko nga gigamit sa pag-encrypt sa datos sa gumagamit nga gipadala pinaagi sa API sa GitHub Actions, GitHub Codespaces, ug Dependabot. Ang mga tiggamit nga naggamit sa mga yawe sa publiko nga gipanag-iya sa GitHub aron susihon ang mga nahimo sa lokal ug pag-encrypt sa data sa pagbiyahe gitambagan aron masiguro nga gi-update nila ang ilang mga yawe sa GitHub GPG aron ang ilang mga sistema magpadayon sa pag-obra human mabag-o ang mga yawe.
GitHub na ang pag-ayo sa kahuyang sa GitHub.com ug gipagawas ang usa ka update sa produkto alang sa GHES 3.8.13, 3.9.8, 3.10.5 ug 3.11.3, nga naglakip sa usa ka pag-ayo alang sa CVE-2024-0200 (dili luwas nga paggamit sa mga pamalandong nga mosangpot sa code execution o mga pamaagi nga kontrolado sa user sa server side). Ang pag-atake sa lokal nga mga instalasyon sa GHES mahimong himuon kung ang tig-atake adunay account nga adunay mga katungod sa tag-iya sa organisasyon.
Source: opennet.ru