GitHub odhalil zranitelnost, která umožňuje přístup k obsahu proměnných prostředí vystavených v kontejnerech používaných v produkční infrastruktuře. Zranitelnost byla objevena účastníkem Bug Bounty, který hledal odměnu za nalezení bezpečnostních problémů. Problém se týká jak služby GitHub.com, tak konfigurace GitHub Enterprise Server (GHES) spuštěné na uživatelských systémech.
Analýza protokolů a audit infrastruktury neodhalily žádné stopy po zneužití zranitelnosti v minulosti kromě aktivity výzkumníka, který problém nahlásil. Infrastruktura však byla iniciována, aby nahradila všechny šifrovací klíče a přihlašovací údaje, které by mohly být potenciálně ohroženy, pokud by zranitelnost byla zneužita útočníkem. Výměna vnitřních klíčů vedla od 27. do 29. prosince k přerušení některých služeb. Správci GitHubu se snažili vzít v úvahu chyby, ke kterým došlo během včerejší aktualizace klíčů ovlivňujících klienty.
Mimo jiné byl aktualizován klíč GPG používaný k digitálnímu podepisování commitů vytvořených prostřednictvím webového editoru GitHub při přijímání požadavků na stažení na webu nebo prostřednictvím sady nástrojů Codespace. Starý klíč přestal platit 16. ledna ve 23:23 moskevského času a od včerejška se místo něj používá klíč nový. Od XNUMX. ledna nebudou všechny nové commity podepsané předchozím klíčem označeny jako ověřené na GitHubu.
16. ledna také aktualizovali veřejné klíče používané k šifrování uživatelských dat odesílaných přes API do GitHub Actions, GitHub Codespaces a Dependabot. Uživatelům, kteří používají veřejné klíče vlastněné GitHubem k místní kontrole odevzdání a šifrování dat při přenosu, se doporučuje, aby se ujistili, že aktualizovali své GPG klíče GitHub, aby jejich systémy fungovaly i po změně klíčů.
GitHub již zranitelnost na GitHub.com opravil a vydal aktualizaci produktu pro GHES 3.8.13, 3.9.8, 3.10.5 a 3.11.3, která obsahuje opravu pro CVE-2024-0200 (nebezpečné použití odrazů vedoucích k spouštění kódu nebo uživatelem řízené metody na straně serveru). Útok na místní instalace GHES by mohl být proveden, pokud by útočník měl účet s právy vlastníka organizace.
Zdroj: opennet.ru