GitHub ya bayyana rashin lahani wanda ke ba da damar yin amfani da abubuwan da ke cikin sauye-sauyen yanayi da aka fallasa a cikin kwantena da aka yi amfani da su wajen samar da ababen more rayuwa. Wani ɗan takarar Bug Bounty ne ya gano raunin yana neman tukuicin nemo lamuran tsaro. Batun yana shafar duka sabis na GitHub.com da saitunan GitHub Enterprise Server (GHES) da ke gudana akan tsarin mai amfani.
Binciken rajistan ayyukan da tantance abubuwan more rayuwa bai bayyana wata alama ta amfani da raunin da ya faru a baya ba sai dai aikin mai binciken wanda ya ba da rahoton matsalar. Koyaya, an ƙaddamar da kayan aikin don maye gurbin duk maɓallan ɓoyewa da takaddun shaida waɗanda za a iya yin lahani idan mai hari ya yi amfani da raunin. Maye gurbin makullan ciki ya haifar da katsewar wasu ayyuka daga ranar 27 zuwa 29 ga Disamba. Masu gudanar da GitHub sun yi ƙoƙarin yin la'akari da kurakuran da aka yi yayin sabunta maɓallan da suka shafi abokan ciniki da aka yi jiya.
Daga cikin wasu abubuwa, maɓallin GPG da ake amfani da shi don sanya hannu a lambobi da aka ƙirƙira ta hanyar editan gidan yanar gizon GitHub lokacin karɓar buƙatun ja akan rukunin yanar gizon ko ta kayan aikin Codespace an sabunta shi. Tsohon maɓalli ya daina aiki a ranar 16 ga Janairu da ƙarfe 23:23 lokacin Moscow, kuma an yi amfani da sabon maɓalli maimakon tun jiya. Tun daga ranar XNUMX ga Janairu, duk sabbin alkawurra da aka sanya hannu tare da maɓallin baya ba za a yi musu alama kamar yadda aka tabbatar akan GitHub ba.
Janairu 16 kuma ya sabunta maɓallan jama'a da aka yi amfani da su don ɓoye bayanan mai amfani da aka aika ta API zuwa Ayyukan GitHub, GitHub Codespaces, da Dependabot. Masu amfani waɗanda ke amfani da maɓallan jama'a mallakar GitHub don bincika aikata ayyukan gida da ɓoye bayanan da ke wucewa ana ba su shawarar tabbatar da cewa sun sabunta maɓallan GitHub GPG ɗin su ta yadda tsarin su ya ci gaba da aiki bayan an canza maɓallan.
GitHub ya riga ya gyara raunin akan GitHub.com kuma ya fitar da sabuntawar samfur don GHES 3.8.13, 3.9.8, 3.10.5 da 3.11.3, wanda ya haɗa da gyara don CVE-2024-0200 (amfani da rashin aminci na tunani da ke haifar da shi) code kisa ko hanyoyin sarrafa mai amfani a gefen uwar garken). Za a iya kai hari kan na'urorin GHES na gida idan maharin yana da asusu mai haƙƙin mallakar ƙungiya.
source: budenet.ru