GitHub on avalikustanud haavatavuse, mis võimaldab juurdepääsu keskkonnamuutujate sisule, mis on avatud tootmisinfrastruktuuris kasutatavates konteinerites. Haavatavuse avastas Bug Bounty osaleja, kes otsis turvaprobleemide leidmise eest tasu. Probleem mõjutab nii teenust GitHub.com kui ka kasutajasüsteemides töötavaid GitHub Enterprise Serveri (GHES) konfiguratsioone.
Logide analüüs ja infrastruktuuri audit ei näidanud haavatavuse minevikus kasutamise jälgi, välja arvatud probleemist teatanud teadlase tegevus. Siiski käivitati infrastruktuur, et asendada kõik krüpteerimisvõtmed ja mandaadid, mis võivad potentsiaalselt ohtu sattuda, kui ründaja kasutab haavatavust. Sisemiste võtmete väljavahetamine põhjustas 27. kuni 29. detsembrini mõne teenuse häireid. GitHubi administraatorid püüdsid eile kliente mõjutavate võtmete uuendamisel tehtud vigu arvesse võtta.
Muuhulgas on uuendatud GPG-võtit, mida kasutatakse GitHubi veebiredaktori kaudu loodud kohustuste digitaalseks allkirjastamiseks saidil või Codespace'i tööriistakomplekti kaudu tõmbetaotluste vastuvõtmisel. Vana võti lakkas kehtimast 16. jaanuaril kell 23:23 Moskva aja järgi ning alates eilsest on selle asemel kasutusel uus võti. Alates XNUMX. jaanuarist ei märgita kõiki eelmise võtmega allkirjastatud uusi kohustusi GitHubis kinnitatuks.
16. jaanuaril uuendati ka avalikke võtmeid, mida kasutatakse API kaudu GitHub Actionsile, GitHub Codespacesile ja Dependabotile saadetud kasutajaandmete krüptimiseks. Kasutajatel, kes kasutavad GitHubile kuuluvaid avalikke võtmeid kohustuste kohapealseks kontrollimiseks ja edastatavate andmete krüptimiseks, soovitatakse veenduda, et nad on oma GitHubi GPG-võtmeid värskendanud, et nende süsteemid jätkaksid toimimist ka pärast võtmete vahetamist.
GitHub on haavatavuse saidil GitHub.com juba parandanud ja välja andnud tootevärskenduse GHES 3.8.13, 3.9.8, 3.10.5 ja 3.11.3 jaoks, mis sisaldab parandust CVE-2024-0200 jaoks (ebaturvaline peegelduste kasutamine, mis viib koodi täitmine või kasutaja juhitavad meetodid serveri poolel). Kohalike GHES-i installatsioonide rünnak võib toimuda juhul, kui ründajal oli organisatsiooni omanikuõigustega konto.
Allikas: opennet.ru