A GitHub felfedett egy sebezhetőséget, amely lehetővé teszi a környezeti változók tartalmának elérését az éles infrastruktúrában használt tárolókban. A sebezhetőséget a Bug Bounty egyik résztvevője fedezte fel, aki jutalmat keresett a biztonsági problémák megtalálásáért. A probléma a GitHub.com szolgáltatást és a felhasználói rendszereken futó GitHub Enterprise Server (GHES) konfigurációkat is érinti.
A naplók elemzése és az infrastruktúra auditálása a sérülékenység korábbi kihasználásának nyomait nem tárta fel, kivéve a problémát bejelentő kutató tevékenységét. Az infrastruktúrát azonban az összes titkosítási kulcs és hitelesítési adat cseréjére kezdeményezték, amely potenciálisan feltörhet, ha a sérülékenységet egy támadó kihasználná. A belső kulcsok cseréje miatt néhány szolgáltatás fennakadásához vezetett december 27. és 29. között. A GitHub rendszergazdái igyekeztek figyelembe venni a klienseket érintő kulcsok tegnapi frissítése során elkövetett hibákat.
Többek között frissült a GitHub webszerkesztőn keresztül létrehozott kötelezettségvállalások digitális aláírására használt GPG-kulcs, amikor a lehívási kérelmeket fogadják a webhelyen vagy a Codespace eszközkészleten keresztül. A régi kulcs január 16-án, moszkvai idő szerint 23:23-kor érvényét vesztette, helyette tegnap óta új kulcsot használnak. Január XNUMX-tól kezdődően az előző kulccsal aláírt új kötelezettségvállalások nem lesznek ellenőrzöttként megjelölve a GitHubon.
Január 16-án frissítették az API-n keresztül a GitHub Actions-nek, a GitHub Codespaces-nek és a Dependabotnak küldött felhasználói adatok titkosításához használt nyilvános kulcsokat is. Azoknak a felhasználóknak, akik a GitHub tulajdonában lévő nyilvános kulcsokat használják a véglegesítések helyi ellenőrzésére és az adatok titkosítására az átvitel során, azt tanácsoljuk, hogy frissítsék GitHub GPG-kulcsaikat, hogy rendszerük továbbra is működjön a kulcsok megváltoztatása után.
A GitHub már kijavította a biztonsági rést a GitHub.com oldalon, és kiadott egy termékfrissítést a GHES 3.8.13, 3.9.8, 3.10.5 és 3.11.3 számára, amely tartalmazza a CVE-2024-0200 javítást (a tükröződések nem biztonságos használata, ami kódvégrehajtás vagy a felhasználó által vezérelt módszerek a szerver oldalon). A helyi GHES-telepítések elleni támadás akkor hajtható végre, ha a támadó szervezeti tulajdonosi jogokkal rendelkezik.
Forrás: opennet.ru