GitHub-ը բացահայտել է խոցելիություն, որը թույլ է տալիս մուտք գործել շրջակա միջավայրի փոփոխականների բովանդակություն, որոնք բացահայտված են արտադրական ենթակառուցվածքում օգտագործվող բեռնարկղերում: Խոցելիությունը հայտնաբերել է Bug Bounty-ի մի մասնակից, որը վարձատրություն էր փնտրում անվտանգության խնդիրներ գտնելու համար: Խնդիրն ազդում է ինչպես GitHub.com ծառայության, այնպես էլ օգտատերերի համակարգերում աշխատող GitHub Enterprise Server (GHES) կոնֆիգուրացիաների վրա:
Գրանցամատյանների վերլուծությունը և ենթակառուցվածքի աուդիտը նախկինում չեն հայտնաբերել խոցելիության շահագործման հետքեր, բացառությամբ խնդրի մասին զեկուցող հետազոտողի գործունեության: Այնուամենայնիվ, ենթակառուցվածքը ստեղծվել է՝ փոխարինելու բոլոր գաղտնագրման բանալիներն ու հավատարմագրերը, որոնք կարող են վտանգվել, եթե խոցելիությունը շահագործվի հարձակվողի կողմից: Ներքին բանալիների փոխարինումը հանգեցրել է որոշ ծառայությունների խափանումների՝ դեկտեմբերի 27-ից 29-ը։ GitHub-ի ադմինիստրատորները փորձել են հաշվի առնել երեկ թույլ տված հաճախորդների վրա ազդող բանալիների թարմացման ժամանակ թույլ տրված սխալները։
Ի թիվս այլ բաների, թարմացվել է GPG ստեղնը, որն օգտագործվում է թվային կերպով ստորագրելու պարտավորությունները, որոնք ստեղծվել են GitHub վեբ խմբագրիչի միջոցով՝ կայքում կամ Codespace գործիքակազմի միջոցով ներբեռնման հարցումներ ընդունելիս: Հին բանալին դադարել է գործել հունվարի 16-ին՝ Մոսկվայի ժամանակով ժամը 23:23-ին, իսկ երեկվանից դրա փոխարեն օգտագործվում է նոր բանալի։ Հունվարի XNUMX-ից սկսած՝ նախորդ բանալիով ստորագրված բոլոր նոր պարտավորությունները GitHub-ում չեն նշվի որպես ստուգված:
Հունվարի 16-ին նաև թարմացվել են հանրային բանալիները, որոնք օգտագործվում են API-ի միջոցով GitHub Actions-ին, GitHub Codespace-ին և Dependabot-ին ուղարկված օգտատերերի տվյալները գաղտնագրելու համար: Այն օգտատերերին, ովքեր օգտագործում են GitHub-ին պատկանող հանրային բանալիները՝ տեղական պարտավորությունները ստուգելու և տարանցիկ տվյալները գաղտնագրելու համար, խորհուրդ է տրվում համոզվել, որ նրանք թարմացրել են իրենց GitHub GPG ստեղները, որպեսզի իրենց համակարգերը շարունակեն գործել բանալիները փոխելուց հետո:
GitHub-ն արդեն շտկել է խոցելիությունը GitHub.com-ում և թողարկել է արտադրանքի թարմացում GHES 3.8.13, 3.9.8, 3.10.5 և 3.11.3 համար, որը ներառում է ուղղում CVE-2024-0200-ի համար (արտացոլումների անապահով օգտագործումը, որը հանգեցնում է կոդի կատարումը կամ օգտագործողի կողմից վերահսկվող մեթոդները սերվերի կողմից): Տեղական GHES կայանքների վրա հարձակումը կարող է իրականացվել, եթե հարձակվողն ուներ կազմակերպության սեփականատիրոջ իրավունքներով հաշիվ:
Source: opennet.ru