ProHoster > Blog > nouvèl sou entènèt > GitHub te mete ajou kle GPG akòz yon vilnerabilite koule varyab anviwònman an

GitHub te mete ajou kle GPG akòz yon vilnerabilite koule varyab anviwònman an

GitHub te divilge yon vilnerabilite ki pèmèt aksè nan sa ki nan varyab anviwònman ekspoze nan resipyan yo itilize nan enfrastrikti pwodiksyon an. Yon patisipan Bug Bounty te dekouvri vilnerabilite ki t ap chèche yon rekonpans pou jwenn pwoblèm sekirite. Pwoblèm nan afekte tou de konfigirasyon sèvis GitHub.com ak GitHub Enterprise Server (GHES) ki kouri sou sistèm itilizatè yo.

Analiz mòso bwa yo ak kontwòl kontab enfrastrikti a pa t revele okenn tras eksplwatasyon vilnerabilite a nan tan lontan eksepte aktivite chèchè a ki te rapòte pwoblèm nan. Sepandan, enfrastrikti a te inisye pou ranplase tout kle chifreman ak kalifikasyon ki ta ka potansyèlman konpwomèt si vilnerabilite a te eksplwate pa yon atakè. Ranplasman kle entèn yo te lakòz dezòd kèk sèvis soti 27 rive 29 desanm. Administratè GitHub yo te eseye pran an kont erè yo te fè pandan aktyalizasyon kle ki afekte kliyan yo te fè yè.

Pami lòt bagay, kle GPG yo itilize pou siyen dijitalman komèt ki te kreye atravè editè entènèt GitHub lè yo aksepte demann rale sou sit la oswa atravè bwat zouti Codespace la. Ansyen kle a te sispann valab sou 16 janvye a 23:23 lè Moskou, epi yo te itilize yon nouvo kle olye depi yè. Apati XNUMX janvye, tout nouvo komèt ki te siyen avèk kle anvan an p ap make kòm verifye sou GitHub.

16 janvye tou mete ajou kle piblik yo itilize pou ankripte done itilizatè yo voye atravè API a GitHub Actions, GitHub Codespaces, ak Dependabot. Itilizatè ki sèvi ak kle piblik GitHub posede pou tcheke komèt lokalman epi ankripte done yo nan transpò yo konseye pou asire yo mete ajou kle GitHub GPG yo pou sistèm yo kontinye fonksyone apre yo fin chanje kle yo.

GitHub te deja ranje vilnerabilite a sou GitHub.com epi li te pibliye yon aktyalizasyon pwodwi pou GHES 3.8.13, 3.9.8, 3.10.5 ak 3.11.3, ki gen ladann yon ranje pou CVE-2024-0200 (itilizasyon refleksyon ki pa an sekirite ki mennen ale nan kòd ekzekisyon oswa metòd itilizatè kontwole sou bò sèvè). Yon atak sou enstalasyon lokal GHES ta ka fèt si atakè a te gen yon kont ak dwa pwopriyetè òganizasyon an.

Sous: opennet.ru

Add nouvo kòmantè