Το GitHub έχει αποκαλύψει μια ευπάθεια που επιτρέπει την πρόσβαση στα περιεχόμενα των μεταβλητών περιβάλλοντος που εκτίθενται σε κοντέινερ που χρησιμοποιούνται στην υποδομή παραγωγής. Η ευπάθεια ανακαλύφθηκε από έναν συμμετέχοντα στο Bug Bounty που αναζητούσε ανταμοιβή για την εύρεση ζητημάτων ασφαλείας. Το ζήτημα επηρεάζει τόσο την υπηρεσία GitHub.com όσο και τις διαμορφώσεις GitHub Enterprise Server (GHES) που εκτελούνται σε συστήματα χρηστών.
Η ανάλυση των αρχείων καταγραφής και ο έλεγχος της υποδομής δεν αποκάλυψαν ίχνη εκμετάλλευσης της ευπάθειας στο παρελθόν εκτός από τη δραστηριότητα του ερευνητή που ανέφερε το πρόβλημα. Ωστόσο, η υποδομή ξεκίνησε για να αντικαταστήσει όλα τα κλειδιά κρυπτογράφησης και τα διαπιστευτήρια που θα μπορούσαν ενδεχομένως να τεθούν σε κίνδυνο εάν η ευπάθεια εκμεταλλευόταν έναν εισβολέα. Η αντικατάσταση των εσωτερικών κλειδιών οδήγησε σε διακοπή ορισμένων υπηρεσιών από τις 27 έως τις 29 Δεκεμβρίου. Οι διαχειριστές του GitHub προσπάθησαν να λάβουν υπόψη τα λάθη που έγιναν κατά την ενημέρωση των κλειδιών που επηρεάζουν τους πελάτες που έγιναν χθες.
Μεταξύ άλλων, έχει ενημερωθεί το κλειδί GPG που χρησιμοποιείται για την ψηφιακή υπογραφή δεσμεύσεων που δημιουργούνται μέσω του προγράμματος επεξεργασίας ιστού GitHub κατά την αποδοχή αιτημάτων έλξης στον ιστότοπο ή μέσω της εργαλειοθήκης Codespace. Το παλιό κλειδί έπαψε να ισχύει στις 16 Ιανουαρίου στις 23:23 ώρα Μόσχας και από χθες χρησιμοποιείται νέο κλειδί. Από τις XNUMX Ιανουαρίου, όλες οι νέες δεσμεύσεις που έχουν υπογραφεί με το προηγούμενο κλειδί δεν θα επισημαίνονται ως επαληθευμένες στο GitHub.
Στις 16 Ιανουαρίου ενημερώθηκαν επίσης τα δημόσια κλειδιά που χρησιμοποιούνται για την κρυπτογράφηση των δεδομένων χρήστη που αποστέλλονται μέσω του API στο GitHub Actions, στο GitHub Codespaces και στο Dependabot. Συνιστάται στους χρήστες που χρησιμοποιούν δημόσια κλειδιά που ανήκουν στο GitHub για να ελέγχουν τις δεσμεύσεις τοπικά και να κρυπτογραφούν δεδομένα κατά τη μεταφορά να διασφαλίζουν ότι έχουν ενημερώσει τα κλειδιά GitHub GPG τους, ώστε τα συστήματά τους να συνεχίσουν να λειτουργούν μετά την αλλαγή των κλειδιών.
Το GitHub έχει ήδη διορθώσει την ευπάθεια στο GitHub.com και έχει κυκλοφορήσει μια ενημέρωση προϊόντος για τα GHES 3.8.13, 3.9.8, 3.10.5 και 3.11.3, η οποία περιλαμβάνει μια επιδιόρθωση για το CVE-2024-0200 (μη ασφαλής χρήση αντανακλάσεων που οδηγεί σε εκτέλεση κώδικα ή μεθόδους ελεγχόμενες από τον χρήστη στην πλευρά του διακομιστή). Μια επίθεση σε τοπικές εγκαταστάσεις GHES θα μπορούσε να πραγματοποιηθεί εάν ο εισβολέας είχε λογαριασμό με δικαιώματα κατόχου οργανισμού.
Πηγή: opennet.ru