GitHub a divulgué une vulnérabilité qui permet d'accéder au contenu des variables d'environnement exposées dans les conteneurs utilisés dans l'infrastructure de production. La vulnérabilité a été découverte par un participant au Bug Bounty cherchant une récompense pour avoir découvert des problèmes de sécurité. Le problème affecte à la fois les configurations du service GitHub.com et de GitHub Enterprise Server (GHES) exécutées sur les systèmes des utilisateurs.
L'analyse des logs et l'audit de l'infrastructure n'ont révélé aucune trace d'exploitation de la vulnérabilité dans le passé hormis l'activité du chercheur qui a signalé le problème. Cependant, l'infrastructure a été lancée pour remplacer toutes les clés de chiffrement et les informations d'identification qui pourraient potentiellement être compromises si la vulnérabilité était exploitée par un attaquant. Le remplacement des clés internes a entraîné une interruption de certains services du 27 au 29 décembre. Les administrateurs de GitHub ont tenté de prendre en compte les erreurs commises lors de la mise à jour des clés affectant les clients effectuée hier.
Entre autres choses, la clé GPG utilisée pour signer numériquement les commits créés via l'éditeur Web GitHub lors de l'acceptation de demandes d'extraction sur le site ou via la boîte à outils Codespace a été mise à jour. L'ancienne clé a cessé d'être valable le 16 janvier à 23h23, heure de Moscou, et une nouvelle clé est utilisée à sa place depuis hier. À partir du XNUMX janvier, tous les nouveaux commits signés avec la clé précédente ne seront plus marqués comme vérifiés sur GitHub.
Le 16 janvier a également mis à jour les clés publiques utilisées pour chiffrer les données utilisateur envoyées via l'API à GitHub Actions, GitHub Codespaces et Dependabot. Il est conseillé aux utilisateurs qui utilisent des clés publiques appartenant à GitHub pour vérifier les validations localement et chiffrer les données en transit de s'assurer qu'ils ont mis à jour leurs clés GPG GitHub afin que leurs systèmes continuent de fonctionner après la modification des clés.
GitHub a déjà corrigé la vulnérabilité sur GitHub.com et publié une mise à jour de produit pour GHES 3.8.13, 3.9.8, 3.10.5 et 3.11.3, qui inclut un correctif pour CVE-2024-0200 (utilisation dangereuse de réflexions conduisant à exécution de code ou méthodes contrôlées par l'utilisateur côté serveur). Une attaque contre les installations locales de GHES pourrait être menée si l'attaquant disposait d'un compte avec les droits de propriétaire de l'organisation.
Source: opennet.ru