GitHub hat in kwetsberens iepenbiere dy't tagong jout ta de ynhâld fan omjouwingsfariabelen bleatsteld yn konteners brûkt yn produksjeynfrastruktuer. De kwetsberens waard ûntdutsen troch in Bug Bounty-dielnimmer dy't in beleanning socht foar it finen fan feiligensproblemen. It probleem hat ynfloed op sawol de GitHub.com-tsjinst as GitHub Enterprise Server (GHES) konfiguraasjes dy't rinne op brûkerssystemen.
Analyse fan 'e logs en kontrôle fan' e ynfrastruktuer lieten gjin spoaren sjen fan eksploitaasje fan 'e kwetsberens yn it ferline, útsein foar de aktiviteit fan' e ûndersiker dy't it probleem rapportearre. De ynfrastruktuer waard lykwols inisjearre om alle fersiferingskaaien en referinsjes te ferfangen dy't mooglik kompromitteare kinne as de kwetsberens waard eksploitearre troch in oanfaller. De ferfanging fan ynterne kaaien late ta fersteuring fan guon tsjinsten fan 27 oant 29 desimber. GitHub-behearders besochten rekken te hâlden mei de flaters makke tidens de fernijing fan kaaien dy't ynfloed hawwe op kliïnten dy't juster makke binne.
Under oare dingen is de GPG-kaai dy't brûkt wurdt om commits digitaal te tekenjen makke fia de GitHub-webbewurker by it akseptearjen fan pull-oanfragen op 'e side of fia de Codespace-ark is bywurke. De âlde kaai is net jildich op 16 jannewaris om 23:23 Moskouske tiid, en sûnt juster is ynstee in nije kaai brûkt. Fan XNUMX jannewaris ôf sille alle nije commits tekene mei de foarige kaai net wurde markearre as ferifiearre op GitHub.
16 jannewaris hat ek de iepenbiere kaaien bywurke dy't brûkt wurde om brûkersgegevens te fersiferjen fia de API nei GitHub Actions, GitHub Codespaces, en Dependabot. Brûkers dy't publike kaaien brûke dy't eigendom binne fan GitHub om commits lokaal te kontrolearjen en gegevens yn transit te fersiferjen wurde advisearre om te soargjen dat se har GitHub GPG-kaaien bywurke hawwe, sadat har systemen trochgean te funksjonearjen neidat de kaaien binne feroare.
GitHub hat de kwetsberens al op GitHub.com reparearre en in produktupdate útbrocht foar GHES 3.8.13, 3.9.8, 3.10.5 en 3.11.3, dy't in fix omfettet foar CVE-2024-0200 (ûnfeilich gebrûk fan refleksjes dy't liede ta koade-útfiering of brûker-kontroleare metoaden oan 'e serverkant). In oanfal op pleatslike GHES-ynstallaasjes koe wurde útfierd as de oanfaller in akkount hie mei organisaasjerjochten.
Boarne: opennet.ru