GitHub malkaŝis vundeblecon, kiu permesas aliron al la enhavo de mediaj variabloj elmontritaj en ujoj uzataj en produktada infrastrukturo. La vundebleco estis malkovrita de Bug Bounty-partoprenanto serĉanta rekompencon por trovi sekurecproblemojn. La problemo influas kaj la GitHub.com-servon kaj GitHub Enterprise Server (GHES) agordojn funkciantajn sur uzantsistemoj.
Analizo de la protokoloj kaj revizio de la infrastrukturo ne malkaŝis spurojn de ekspluatado de la vundebleco en la pasinteco krom la agado de la esploristo kiu raportis la problemon. Tamen, la infrastrukturo estis komencita por anstataŭigi ĉiujn ĉifrajn ŝlosilojn kaj akreditaĵojn, kiuj eble povus esti endanĝerigitaj se la vundebleco estus ekspluatata de atakanto. La anstataŭigo de internaj ŝlosiloj kaŭzis interrompon de kelkaj servoj de la 27-a ĝis la 29-a de decembro. GitHub-administrantoj provis konsideri la erarojn faritajn dum la ĝisdatigo de ŝlosiloj influantaj klientojn farita hieraŭ.
Interalie, la GPG-ŝlosilo uzata por ciferece subskribi komitaĵojn kreitajn per la retredaktilo GitHub kiam oni akceptas tirajn petojn en la retejo aŭ per la ilaro de Codespace estis ĝisdatigita. La malnova ŝlosilo ĉesis validi la 16-an de januaro je la 23:23 Moskva tempo, kaj nova ŝlosilo estas uzata anstataŭe ekde hieraŭ. Ekde la XNUMX-an de januaro, ĉiuj novaj komitaĵoj subskribitaj per la antaŭa ŝlosilo ne estos markitaj kiel kontrolitaj en GitHub.
La 16-an de januaro ankaŭ ĝisdatigis la publikajn ŝlosilojn uzatajn por ĉifri uzantdatenojn senditajn per la API al GitHub Actions, GitHub Codespaces kaj Dependabot. Uzantoj, kiuj uzas publikajn ŝlosilojn posedatajn de GitHub por kontroli komitaĵojn loke kaj ĉifri datumojn en trafiko, estas konsilitaj certigi, ke ili ĝisdatigis siajn GitHub GPG-ŝlosilojn por ke iliaj sistemoj daŭre funkcias post kiam la ŝlosiloj estas ŝanĝitaj.
GitHub jam riparis la vundeblecon en GitHub.com kaj publikigis produktan ĝisdatigon por GHES 3.8.13, 3.9.8, 3.10.5 kaj 3.11.3, kiu inkluzivas solvon por CVE-2024-0200 (nesekura uzo de reflektadoj kondukantaj al koda ekzekuto aŭ uzant-kontrolitaj metodoj ĉe la servilo). Atako kontraŭ lokaj GHES-instalaĵoj povus esti farita se la atakanto havus konton kun organizposedrajtoj.
fonto: opennet.ru