GitHub je otkrio ranjivost koja omogućuje pristup sadržaju varijabli okoline izloženih u spremnicima koji se koriste u proizvodnoj infrastrukturi. Ranjivost je otkrio sudionik Bug Bountya koji je tražio nagradu za pronalaženje sigurnosnih problema. Problem utječe i na uslugu GitHub.com i na GitHub Enterprise Server (GHES) konfiguracije koje se izvode na korisničkim sustavima.
Analiza zapisa i revizija infrastrukture nisu otkrili nikakve tragove iskorištavanja ranjivosti u prošlosti osim aktivnosti istraživača koji je prijavio problem. Međutim, infrastruktura je pokrenuta kako bi zamijenila sve ključeve šifriranja i vjerodajnice koje bi potencijalno mogle biti ugrožene ako napadač iskoristi ranjivost. Zamjena internih ključeva dovela je do prekida rada nekih usluga od 27. do 29. prosinca. Administratori GitHuba pokušali su uzeti u obzir pogreške učinjene tijekom ažuriranja ključeva koji utječu na klijente napravljene jučer.
Između ostalog, ažuriran je GPG ključ koji se koristi za digitalno potpisivanje obaveza kreiranih putem GitHub web uređivača prilikom prihvaćanja zahtjeva za povlačenjem na web mjestu ili putem alata Codespace. Stari ključ prestao je važiti 16. siječnja u 23 sata po moskovskom vremenu, a umjesto njega od jučer se koristi novi ključ. Počevši od 23. siječnja, sve nove obveze potpisane prethodnim ključem neće biti označene kao provjerene na GitHubu.
16. siječnja također je ažurirao javne ključeve koji se koriste za šifriranje korisničkih podataka poslanih putem API-ja za GitHub Actions, GitHub Codespaces i Dependabot. Korisnicima koji koriste javne ključeve u vlasništvu GitHuba za lokalnu provjeru obveza i šifriranje podataka u prijenosu savjetuje se da ažuriraju svoje GitHub GPG ključeve kako bi njihovi sustavi nastavili funkcionirati nakon promjene ključeva.
GitHub je već popravio ranjivost na GitHub.com i objavio ažuriranje proizvoda za GHES 3.8.13, 3.9.8, 3.10.5 i 3.11.3, koje uključuje popravak za CVE-2024-0200 (nesigurna upotreba refleksija koja dovodi do izvršavanje koda ili metode koje kontrolira korisnik na strani poslužitelja). Napad na lokalne instalacije GHES-a mogao bi se izvesti ako bi napadač imao račun s pravima vlasnika organizacije.
Izvor: opennet.ru