GitHub har afsløret en sårbarhed, der giver adgang til indholdet af miljøvariabler eksponeret i containere, der bruges i produktionsinfrastruktur. Sårbarheden blev opdaget af en Bug Bounty-deltager, der søgte en belønning for at finde sikkerhedsproblemer. Problemet påvirker både GitHub.com-tjenesten og GitHub Enterprise Server (GHES)-konfigurationer, der kører på brugersystemer.
Analyse af logfilerne og revision af infrastrukturen afslørede ingen spor af udnyttelse af sårbarheden i fortiden bortset fra aktiviteten fra den forsker, der rapporterede problemet. Infrastrukturen blev imidlertid startet for at erstatte alle krypteringsnøgler og legitimationsoplysninger, der potentielt kunne blive kompromitteret, hvis sårbarheden blev udnyttet af en angriber. Udskiftningen af interne nøgler førte til afbrydelse af nogle tjenester fra 27. til 29. december. GitHub-administratorer forsøgte at tage højde for de fejl, der blev begået under opdateringen af nøgler, der påvirkede klienter, der blev foretaget i går.
Blandt andet er GPG-nøglen, der bruges til digitalt at signere commits, der er oprettet gennem GitHub-webeditoren ved accept af pull-anmodninger på webstedet eller gennem Codespace-værktøjssættet, blevet opdateret. Den gamle nøgle ophørte med at være gyldig den 16. januar klokken 23:23 Moskva-tid, og en ny nøgle er i stedet blevet brugt siden i går. Fra den XNUMX. januar vil alle nye tilsagn, der er underskrevet med den tidligere nøgle, ikke blive markeret som bekræftet på GitHub.
16. januar opdaterede også de offentlige nøgler, der blev brugt til at kryptere brugerdata sendt via API'et til GitHub Actions, GitHub Codespaces og Dependabot. Brugere, der bruger offentlige nøgler, der ejes af GitHub til at kontrollere commits lokalt og kryptere data i transit, rådes til at sikre, at de har opdateret deres GitHub GPG-nøgler, så deres systemer fortsætter med at fungere, efter at nøglerne er ændret.
GitHub har allerede rettet sårbarheden på GitHub.com og udgivet en produktopdatering til GHES 3.8.13, 3.9.8, 3.10.5 og 3.11.3, som inkluderer en rettelse til CVE-2024-0200 (usikker brug af refleksioner, der fører til kodeudførelse eller brugerkontrollerede metoder på serversiden). Et angreb på lokale GHES-installationer kunne udføres, hvis angriberen havde en konto med organisationsejerrettigheder.
Kilde: opennet.ru