Tá GitHub tar éis leochaileacht a nochtadh a cheadaíonn rochtain ar ábhar na n-athróg comhshaoil a nochtar i gcoimeádáin a úsáidtear i mbonneagar táirgthe. D'aimsigh rannpháirtí Bug Bounty an leochaileacht a bhí ag lorg luach saothair as saincheisteanna slándála a aimsiú. Bíonn tionchar ag an tsaincheist ar sheirbhís GitHub.com agus ar chumraíochtaí Freastalaí Fiontraíochta GitHub (GHES) a ritheann ar chórais úsáideoirí.
Níor nocht anailís ar na logaí agus iniúchadh an bhonneagair aon rian de shaothrú na leochaileachta san am a chuaigh thart ach amháin i gcás ghníomhaíocht an taighdeora a thuairiscigh an fhadhb. Mar sin féin, cuireadh tús leis an mbonneagar chun na heochracha agus na dintiúir criptithe go léir a athsholáthar a d'fhéadfadh a bheith i gcontúirt dá mbainfeadh ionsaitheoir leas as an leochaileacht. Mar gheall ar athsholáthar na n-eochracha inmheánacha cuireadh isteach ar roinnt seirbhísí ó 27 go 29 Nollaig. Rinne riarthóirí GitHub iarracht na botúin a rinneadh le linn nuashonrú eochracha a dhéanann difear do chliaint a rinneadh inné a chur san áireamh.
I measc rudaí eile, nuashonraíodh an eochair GPG a úsáidtear chun gealltanais a shíniú go digiteach a cruthaíodh trí eagarthóir gréasáin GitHub nuair a ghlactar le hiarratais ar tharraingt ar an láithreán nó trí fhoireann uirlisí Codespace. Scoir an sean-eochair de bheith bailí an 16 Eanáir ag 23:23 am Moscó, agus úsáideadh eochair nua ina áit ó inné. Ag tosú XNUMX Eanáir, ní mharcálfar gach gealltanas nua a síníodh leis an eochair roimhe seo mar a fíoraíodh ar GitHub.
Nuashonraigh 16 Eanáir freisin na heochracha poiblí a úsáidtear chun sonraí úsáideoirí a sheoltar tríd an API chuig GitHub Actions, GitHub Codespaces, agus Dependabot a chriptiú. Moltar d’úsáideoirí a úsáideann eochracha poiblí faoi úinéireacht GitHub chun gealltanais a sheiceáil go háitiúil agus sonraí a chriptiú faoi bhealach a chinntiú go bhfuil a n-eochracha GPG GitHub nuashonraithe acu ionas go leanann a gcórais ag feidhmiú tar éis na heochracha a athrú.
Tá an leochaileacht socraithe cheana féin ag GitHub ar GitHub.com agus d'eisigh sé nuashonrú táirge do GHES 3.8.13, 3.9.8, 3.10.5 agus 3.11.3, lena n-áirítear socrú le haghaidh CVE-2024-0200 (úsáid neamhshábháilte a bhaint as machnaimh as a dtagann forghníomhú cód nó modhanna úsáideoir-rialaithe ar thaobh an fhreastalaí). D’fhéadfaí ionsaí a dhéanamh ar shuiteálacha áitiúla GHES dá mbeadh cuntas ag an ionsaitheoir le cearta úinéara na heagraíochta.
Foinse: oscailtenet.ru