GitHub hà divulgatu una vulnerabilità chì permette l'accessu à u cuntenutu di e variabili di l'ambiente esposti in cuntenituri utilizati in l'infrastruttura di produzzione. A vulnerabilità hè stata scuperta da un participante di Bug Bounty chì cercava una ricumpensa per truvà prublemi di sicurezza. U prublema affetta sia u serviziu GitHub.com sia e cunfigurazioni di GitHub Enterprise Server (GHES) in esecuzione in sistemi d'utilizatori.
L'analisi di i logs è l'auditu di l'infrastruttura ùn hà micca revelatu alcuna traccia di sfruttamentu di a vulnerabilità in u passatu, salvu l'attività di l'investigatore chì hà dettu u prublema. Tuttavia, l'infrastruttura hè stata iniziata per rimpiazzà tutte e chjavi di criptografia è e credenziali chì puderanu esse cumprumessi se a vulnerabilità hè stata sfruttata da un attaccu. A sustituzione di e chjave interne hà purtatu à l'interruzzione di certi servizii da u 27 à u 29 di dicembre. L'amministratori di GitHub anu pruvatu à piglià in contu l'errori fatti durante l'aghjurnamentu di e chjave chì afectanu i clienti fatti ieri.
Frà l'altri cose, a chjave GPG utilizata per firmà digitalmente commits creati attraversu l'editore web GitHub quandu accetta richieste di pull in u situ o attraversu u Toolkit Codespace hè stata aghjurnata. A chjave antica hà cessatu di esse validu u 16 di ghjennaghju à 23:23 ora di Mosca, è una nova chjave hè stata aduprata invece da eri. A partire da u XNUMX di ghjennaghju, tutti i novi impegni firmati cù a chjave precedente ùn saranu micca marcati cum'è verificati in GitHub.
U 16 di ghjennaghju hà ancu aghjurnatu e chjavi pubbliche utilizzate per criptà i dati di l'utilizatori mandati via l'API à GitHub Actions, GitHub Codespaces è Dependabot. L'utilizatori chì utilizanu chjavi pubblichi di GitHub per verificà e cummissioni in u locu è criptate e dati in transitu sò cunsigliati per assicurà chì anu aghjurnatu e so chjavi GPG di GitHub per chì i so sistemi cuntinueghjanu à funziunà dopu chì e chjavi sò cambiati.
GitHub hà digià riparatu a vulnerabilità in GitHub.com è hà liberatu una aghjurnazione di u produttu per GHES 3.8.13, 3.9.8, 3.10.5 è 3.11.3, chì include una correzione per CVE-2024-0200 (usu micca sicuru di riflessioni chì portanu à esecuzione di codice o metudi cuntrullati da l'utilizatori da u latu di u servitore). Un attaccu à l'installazione GHES lucali puderia esse realizatu se l'attaccante avia un cuntu cù i diritti di u pruprietariu di l'urganizazione.
Source: opennet.ru