GitHub revelou unha vulnerabilidade que permite acceder ao contido das variables de ambiente expostas en contedores utilizados na infraestrutura de produción. A vulnerabilidade foi descuberta por un participante de Bug Bounty que buscaba unha recompensa por atopar problemas de seguridade. O problema afecta tanto ao servizo GitHub.com como ás configuracións de GitHub Enterprise Server (GHES) que se executan nos sistemas dos usuarios.
A análise dos rexistros e a auditoría da infraestrutura non revelou ningún rastro de explotación da vulnerabilidade no pasado, salvo a actividade do investigador que informou o problema. Non obstante, a infraestrutura iniciouse para substituír todas as claves e credenciais de cifrado que poderían verse comprometidas se a vulnerabilidade fose explotada por un atacante. A substitución das chaves internas provocou a interrupción dalgúns servizos do 27 ao 29 de decembro. Os administradores de GitHub tentaron ter en conta os erros cometidos durante a actualización de claves que afectan aos clientes cometida onte.
Entre outras cousas, actualizouse a clave GPG utilizada para asinar dixitalmente as confirmacións creadas a través do editor web de GitHub ao aceptar solicitudes de extracción no sitio ou a través do kit de ferramentas Codespace. A chave antiga deixou de ser válida o 16 de xaneiro ás 23:23 hora de Moscova, e desde onte utilízase unha nova chave. A partir do XNUMX de xaneiro, todas as novas confirmacións asinadas coa chave anterior non se marcarán como verificadas en GitHub.
O 16 de xaneiro tamén actualizou as claves públicas utilizadas para cifrar os datos dos usuarios enviados a través da API a GitHub Actions, GitHub Codespaces e Dependabot. Recoméndase aos usuarios que usan chaves públicas propiedade de GitHub para comprobar as confirmacións localmente e cifrar os datos en tránsito que se aseguren de actualizar as súas chaves GPG de GitHub para que os seus sistemas sigan funcionando despois de que se cambien as chaves.
GitHub xa corrixiu a vulnerabilidade en GitHub.com e lanzou unha actualización de produto para GHES 3.8.13, 3.9.8, 3.10.5 e 3.11.3, que inclúe unha corrección para CVE-2024-0200 (uso inseguro de reflexións que leva a execución de código ou métodos controlados polo usuario no lado do servidor). Podería levarse a cabo un ataque ás instalacións locais de GHES se o atacante tivese unha conta con dereitos de propietario da organización.
Fonte: opennet.ru