ProHoster > وبلاگ > اخبار اینترنتی > GitHub کلیدهای GPG را به دلیل آسیب پذیری نشت متغیر محیطی به روز کرده است

GitHub کلیدهای GPG را به دلیل آسیب پذیری نشت متغیر محیطی به روز کرده است

گیت هاب آسیب پذیری را فاش کرده است که امکان دسترسی به محتویات متغیرهای محیطی را که در کانتینرهای مورد استفاده در زیرساخت تولید قرار دارند، می دهد. این آسیب پذیری توسط یکی از شرکت کنندگان Bug Bounty کشف شد که به دنبال دریافت پاداش برای یافتن مسائل امنیتی بود. این مشکل هم بر روی سرویس GitHub.com و هم پیکربندی‌های GitHub Enterprise Server (GHES) در حال اجرا بر روی سیستم‌های کاربر تأثیر می‌گذارد.

تجزیه و تحلیل گزارش‌ها و ممیزی زیرساخت هیچ اثری از بهره‌برداری از آسیب‌پذیری را در گذشته نشان نداد، به جز فعالیت محققی که مشکل را گزارش کرده بود. با این حال، این زیرساخت برای جایگزینی همه کلیدهای رمزگذاری و اعتبارنامه‌هایی که در صورت سوء استفاده از آسیب‌پذیری توسط یک مهاجم ممکن است در معرض خطر قرار گیرند، آغاز شد. تعویض کلیدهای داخلی منجر به اختلال در برخی از خدمات از 27 تا 29 دسامبر شد. مدیران GitHub سعی کردند اشتباهات انجام شده در هنگام به روز رسانی کلیدها را در نظر بگیرند.

از جمله، کلید GPG مورد استفاده برای امضای دیجیتالی تعهدات ایجاد شده از طریق ویرایشگر وب GitHub هنگام پذیرش درخواست‌های کشش در سایت یا از طریق جعبه ابزار Codespace، به‌روزرسانی شده است. کلید قدیمی در تاریخ 16 ژانویه در ساعت 23:23 به وقت مسکو اعتبار خود را از دست داد و از دیروز به جای آن از یک کلید جدید استفاده شده است. از XNUMX ژانویه، تمام commit های جدید امضا شده با کلید قبلی به عنوان تایید شده در GitHub علامت گذاری نخواهند شد.

16 ژانویه همچنین کلیدهای عمومی مورد استفاده برای رمزگذاری داده های کاربر ارسال شده از طریق API به GitHub Actions، GitHub Codespaces و Dependabot را به روز کرد. به کاربرانی که از کلیدهای عمومی متعلق به GitHub برای بررسی commit ها به صورت محلی و رمزگذاری داده ها در حین انتقال استفاده می کنند، توصیه می شود اطمینان حاصل کنند که کلیدهای GitHub GPG خود را به روز کرده اند تا سیستم آنها پس از تغییر کلیدها به کار خود ادامه دهند.

GitHub قبلاً این آسیب‌پذیری را در GitHub.com برطرف کرده است و یک به‌روزرسانی محصول برای GHES 3.8.13، 3.9.8، 3.10.5 و 3.11.3 منتشر کرده است که شامل اصلاحی برای CVE-2024-0200 (استفاده ناامن از بازتاب‌ها منجر به اجرای کد یا روش های کنترل شده توسط کاربر در سمت سرور). اگر مهاجم حسابی با حقوق مالک سازمان داشته باشد، حمله به تاسیسات محلی GHES ممکن است انجام شود.

منبع: opennet.ru

اضافه کردن نظر