Mae GitHub wedi datgelu bregusrwydd sy'n caniatΓ‘u mynediad i gynnwys newidynnau amgylchedd a ddatgelir mewn cynwysyddion a ddefnyddir mewn seilwaith cynhyrchu. Darganfuwyd y bregusrwydd gan gyfranogwr Bug Bounty yn ceisio gwobr am ddod o hyd i faterion diogelwch. Mae'r mater yn effeithio ar y gwasanaeth GitHub.com a ffurfweddiadau Gweinydd Menter GitHub (GHES) sy'n rhedeg ar systemau defnyddwyr.
Ni ddatgelodd dadansoddiad o'r logiau ac archwiliad o'r seilwaith unrhyw olion o ecsbloetio'r bregusrwydd yn y gorffennol ac eithrio gweithgaredd yr ymchwilydd a adroddodd y broblem. Fodd bynnag, cychwynnwyd y seilwaith i ddisodli'r holl allweddi amgryptio a chymwysterau a allai gael eu peryglu pe bai ymosodwr yn manteisio ar y bregusrwydd. Arweiniodd ailosod allweddi mewnol at darfu ar rai gwasanaethau rhwng Rhagfyr 27 a 29. Ceisiodd gweinyddwyr GitHub ystyried y camgymeriadau a wnaed yn ystod y diweddariad o allweddi sy'n effeithio ar gleientiaid a wnaed ddoe.
Ymhlith pethau eraill, mae'r allwedd GPG a ddefnyddir i lofnodi ymrwymiadau digidol a grΓ«wyd trwy olygydd gwe GitHub wrth dderbyn ceisiadau tynnu ar y wefan neu drwy becyn cymorth Codespace wedi'i ddiweddaru. Daeth yr hen allwedd i ben ar Ionawr 16 am 23:23 amser Moscow, ac mae allwedd newydd wedi'i defnyddio yn lle ers ddoe. Gan ddechrau Ionawr XNUMX, ni fydd pob ymrwymiad newydd a lofnodwyd gyda'r allwedd flaenorol yn cael ei farcio fel y'i dilyswyd ar GitHub.
Diweddarodd Ionawr 16 hefyd yr allweddi cyhoeddus a ddefnyddir i amgryptio data defnyddwyr a anfonwyd trwy'r API i GitHub Actions, GitHub Codespaces, a Dependabot. Cynghorir defnyddwyr sy'n defnyddio allweddi cyhoeddus sy'n eiddo i GitHub i wirio ymrwymiad yn lleol ac amgryptio data wrth eu cludo i sicrhau eu bod wedi diweddaru eu bysellau GPG GitHub fel bod eu systemau'n parhau i weithredu ar Γ΄l i'r allweddi gael eu newid.
Mae GitHub eisoes wedi gosod y bregusrwydd ar GitHub.com ac wedi rhyddhau diweddariad cynnyrch ar gyfer GHES 3.8.13, 3.9.8, 3.10.5 a 3.11.3, sy'n cynnwys atgyweiriad ar gyfer CVE-2024-0200 (defnydd anniogel o adlewyrchiadau sy'n arwain at gweithredu cod neu ddulliau a reolir gan ddefnyddwyr ar ochr y gweinydd). Gallai ymosodiad ar osodiadau GHES lleol gael ei gynnal pe bai gan yr ymosodwr gyfrif gyda hawliau perchennog y sefydliad.
Ffynhonnell: opennet.ru