GitHub-ek produkzio-azpiegituretan erabiltzen diren edukiontzietan azaltzen diren ingurune-aldagaien edukietara sarbidea ahalbidetzen duen ahultasun bat zabaldu du. Ahultasuna Bug Bounty-ko parte-hartzaile batek aurkitu zuen segurtasun-arazoak aurkitzeagatik sari bat bilatzen ari zela. Arazoak erabiltzaile-sistemetan exekutatzen diren GitHub.com zerbitzuari eta GitHub Enterprise Server (GHES) konfigurazioei eragiten die.
Erregistroen analisiak eta azpiegituren ikuskaritzak ez zuen agerian iraganean ahultasunaren ustiapenaren arrastorik, arazoaren berri eman zuen ikertzailearen jarduera izan ezik. Hala ere, ahultasuna erasotzaile batek baliatuz gero arriskuan egon litezkeen zifratze-gako eta kredentzial guztiak ordezkatzeko hasi zen azpiegitura. Barne giltzak ordezkatzeak zerbitzu batzuk eten egin zituen abenduaren 27tik 29ra. GitHub-eko administratzaileak atzo egindako bezeroei eragiten dieten gakoen eguneratzean egindako akatsak kontuan hartzen saiatu ziren.
Besteak beste, GitHub web editorearen bidez sortutako konpromisoak digitalki sinatzeko erabiltzen den GPG gakoa eguneratu da gunean tira eskaerak onartzean edo Codespace tresna-kitaren bidez. Giltza zaharrak urtarrilaren 16an Moskuko 23:23etan utzi zion balio izateari, eta atzotik gako berria erabili da horren ordez. Urtarrilaren XNUMXtik aurrera, aurreko gakoarekin sinatutako konpromiso berri guztiak ez dira GitHub-en egiaztatuta bezala markatuko.
Urtarrilaren 16ak GitHub Actions, GitHub Codespaces eta Dependabot-i API bidez bidalitako erabiltzaileen datuak enkriptatzeko erabiltzen diren gako publikoak ere eguneratu ditu. GitHub-en jabetzako gako publikoak lokalean konpromisoak egiaztatzeko eta garraioan dauden datuak enkriptatzeko erabiltzen dituzten erabiltzaileei GitHub GPG gakoak eguneratu dituztela gomendatzen zaie, gakoak aldatu ondoren beren sistemak funtzionatzen jarrai dezaten.
GitHub-ek dagoeneko konpondu du ahultasuna GitHub.com-en eta GHES 3.8.13, 3.9.8, 3.10.5 eta 3.11.3 produktuen eguneraketa bat kaleratu du, CVE-2024-0200-ren konponketa bat barne hartzen duena (hausnarketen erabilera ez segurua dakar). kodea exekutatzeko edo erabiltzaileak kontrolatutako metodoak zerbitzariaren aldean). Tokiko GHES instalazioen aurkako erasoa egin liteke erasotzaileak erakundearen jabe-eskubideak dituen kontu bat balu.
Iturria: opennet.ru