Tha GitHub air so-leòntachd fhoillseachadh a leigeas le faighinn a-steach do shusbaint caochladairean àrainneachd a tha fosgailte ann an soithichean a thathas a’ cleachdadh ann am bun-structar cinneasachaidh. Chaidh an so-leòntachd a lorg le com-pàirtiche Bug Bounty a bha a’ sireadh duais airson cùisean tèarainteachd a lorg. Tha a’ chùis a’ toirt buaidh air gach cuid seirbheis GitHub.com agus rèiteachadh GitHub Enterprise Server (GHES) a’ ruith air siostaman luchd-cleachdaidh.
Cha do nochd mion-sgrùdadh air na logaichean agus sgrùdadh bun-structair comharran sam bith de bhith a’ gabhail brath air so-leòntachd san àm a dh’ fhalbh ach a-mhàin gnìomhachd an neach-rannsachaidh a thug cunntas air an duilgheadas. Ach, chaidh am bun-structar a thòiseachadh gus a h-uile iuchair crioptachaidh agus teisteanais a chuir an àite a dh’ fhaodadh a bhith ann an cunnart nam biodh neach-ionnsaigh a ’gabhail brath air an so-leòntachd. Mar thoradh air iuchraichean a-staigh a chuir an àite chaidh briseadh a-steach do chuid de sheirbheisean bho 27 gu 29 Dùbhlachd. Dh’ fheuch luchd-rianachd GitHub ri aire a thoirt do na mearachdan a chaidh a dhèanamh rè ùrachadh iuchraichean a’ toirt buaidh air teachdaichean a chaidh a dhèanamh an-dè.
Am measg rudan eile, chaidh an iuchair GPG a chleachdar airson soidhnigeadh didseatach a dhèanamh air geallaidhean a chaidh a chruthachadh tro neach-deasachaidh lìn GitHub nuair a thathar a’ gabhail ri iarrtasan tarraing air an làrach no tro inneal Codespace. Sguir an t-seann iuchair a bhith dligheach air 16 Faoilleach aig 23:23 àm Moscow, agus chaidh iuchair ùr a chleachdadh na h-àite bhon an-dè. A’ tòiseachadh air XNUMX Faoilleach, cha tèid a h-uile gealltanas ùr a chaidh a shoidhnigeadh leis an iuchair roimhe a chomharrachadh mar a chaidh a dhearbhadh air GitHub.
Dh'ùraich 16 Faoilleach cuideachd na h-iuchraichean poblach a chaidh a chleachdadh gus dàta luchd-cleachdaidh a chuir a-steach tron API gu GitHub Actions, GitHub Codespaces, agus Dependabot a chrioptachadh. Thathas a’ comhairleachadh luchd-cleachdaidh a bhios a’ cleachdadh iuchraichean poblach le GitHub gus geallaidhean ionadail a dhearbhadh agus dàta a chrioptachadh ann an gluasad dèanamh cinnteach gu bheil iad air na h-iuchraichean GPG GitHub aca ùrachadh gus am bi na siostaman aca ag obair às deidh na h-iuchraichean atharrachadh.
Tha GitHub mu thràth air so-leòntachd a shocrachadh air GitHub.com agus air ùrachadh toraidh fhoillseachadh airson GHES 3.8.13, 3.9.8, 3.10.5 agus 3.11.3, a tha a’ toirt a-steach fuasgladh airson CVE-2024-0200 (cleachdadh mì-shàbhailte de mheòrachadh a’ leantainn gu cur an gnìomh còd no dòighean fo smachd neach-cleachdaidh air taobh an fhrithealaiche). Dh’ fhaodadh ionnsaigh a thoirt air ionadan GHES ionadail nam biodh cunntas aig an neach-ionnsaigh le còraichean sealbhadair na buidhne.
Source: fosgailtenet.ru