GitHub on paljastanut haavoittuvuuden, joka mahdollistaa pääsyn tuotantoinfrastruktuurissa käytetyissä säiliöissä paljastettuihin ympäristömuuttujien sisältöön. Haavoittuvuuden havaitsi Bug Bountyn osallistuja, joka halusi palkkiota tietoturvaongelmien löytämisestä. Ongelma vaikuttaa sekä GitHub.com-palveluun että GitHub Enterprise Server (GHES) -kokoonpanoihin, jotka toimivat käyttäjäjärjestelmissä.
Lokien analyysi ja infrastruktuurin auditointi eivät paljastaneet merkkejä haavoittuvuuden aikaisemmasta hyväksikäytöstä, lukuun ottamatta ongelman ilmoittaneen tutkijan toimintaa. Infrastruktuuri aloitettiin kuitenkin korvaamaan kaikki salausavaimet ja tunnistetiedot, jotka saattavat vaarantua, jos hyökkääjä käyttää haavoittuvuutta hyväkseen. Sisäisten avainten vaihto johti joidenkin palvelujen häiriöihin 27.–29. joulukuuta. GitHub-järjestelmänvalvojat yrittivät ottaa huomioon eilen tehdyssä asiakkaisiin vaikuttavien avainten päivityksessä tehdyt virheet.
Muun muassa GPG-avain, jota käytetään GitHub-verkkoeditorin kautta luotujen sitoumusten digitaaliseen allekirjoittamiseen hyväksyttäessä vetopyyntöjä sivustolla tai Codespace-työkalupakin kautta, on päivitetty. Vanha avain lakkasi olemasta voimassa 16. tammikuuta klo 23:23 Moskovan aikaa, ja uusi avain on ollut käytössä eilisestä lähtien. XNUMX. tammikuuta alkaen kaikkia edellisellä avaimella allekirjoitettuja uusia sitoumuksia ei merkitä vahvistetuiksi GitHubissa.
16. tammikuuta päivitettiin myös julkiset avaimet, joita käytetään sovellusliittymän kautta GitHub Actionsille, GitHub Codespacesille ja Dependabotille lähetettyjen käyttäjätietojen salaamiseen. Käyttäjiä, jotka käyttävät GitHubin omistamia julkisia avaimia paikallisten sitoumusten tarkistamiseen ja siirrettävien tietojen salaamiseen, kehotetaan varmistamaan, että he ovat päivittäneet GitHub GPG -avaimensa, jotta heidän järjestelmänsä jatkavat toimintaansa avainten vaihtamisen jälkeen.
GitHub on jo korjannut GitHub.comin haavoittuvuuden ja julkaissut tuotepäivityksen GHES 3.8.13:lle, 3.9.8:lle, 3.10.5:lle ja 3.11.3:lle, joka sisältää korjauksen CVE-2024-0200 (heijastusten vaarallinen käyttö, joka johtaa koodin suoritus tai käyttäjän ohjaamat menetelmät palvelinpuolella). Hyökkäys paikallisia GHES-asennuksia vastaan voidaan suorittaa, jos hyökkääjällä oli tili, jolla on organisaation omistajan oikeudet.
Lähde: opennet.ru