GitHub telah mengungkapkan kerentanan yang memungkinkan akses ke konten variabel lingkungan yang terekspos dalam kontainer yang digunakan dalam infrastruktur produksi. Kerentanan ditemukan oleh peserta Bug Bounty yang mencari hadiah karena menemukan masalah keamanan. Masalah ini memengaruhi layanan GitHub.com dan konfigurasi GitHub Enterprise Server (GHES) yang berjalan pada sistem pengguna.
Analisis log dan audit infrastruktur tidak mengungkapkan jejak eksploitasi kerentanan di masa lalu kecuali aktivitas peneliti yang melaporkan masalah tersebut. Namun, infrastruktur dimulai untuk menggantikan semua kunci enkripsi dan kredensial yang berpotensi disusupi jika kerentanan dieksploitasi oleh penyerang. Penggantian kunci internal menyebabkan gangguan pada beberapa layanan dari tanggal 27 hingga 29 Desember. Administrator GitHub mencoba memperhitungkan kesalahan yang dibuat selama pembaruan kunci yang memengaruhi klien yang dilakukan kemarin.
Antara lain, kunci GPG yang digunakan untuk menandatangani komitmen secara digital yang dibuat melalui editor web GitHub saat menerima permintaan penarikan di situs atau melalui toolkit Codespace telah diperbarui. Kunci lama tidak lagi berlaku pada 16 Januari pukul 23:23 waktu Moskow, dan kunci baru telah digunakan sejak kemarin. Mulai tanggal XNUMX Januari, semua komitmen baru yang ditandatangani dengan kunci sebelumnya tidak akan ditandai sebagai terverifikasi di GitHub.
16 Januari juga memperbarui kunci publik yang digunakan untuk mengenkripsi data pengguna yang dikirim melalui API ke GitHub Actions, GitHub Codespaces, dan Dependabot. Pengguna yang menggunakan kunci publik milik GitHub untuk memeriksa penerapan secara lokal dan mengenkripsi data saat transit disarankan untuk memastikan bahwa mereka telah memperbarui kunci GitHub GPG mereka sehingga sistem mereka terus berfungsi setelah kunci diubah.
GitHub telah memperbaiki kerentanan di GitHub.com dan merilis pembaruan produk untuk GHES 3.8.13, 3.9.8, 3.10.5 dan 3.11.3, yang mencakup perbaikan untuk CVE-2024-0200 (penggunaan refleksi yang tidak aman yang mengarah ke eksekusi kode atau metode yang dikendalikan pengguna di sisi server). Serangan terhadap instalasi GHES lokal dapat dilakukan jika penyerang memiliki akun dengan hak pemilik organisasi.
Sumber: opennet.ru