GitHub hefur opinberað varnarleysi sem veitir aðgang að innihaldi umhverfisbreyta sem eru afhjúpaðar í gámum sem notaðir eru í framleiðsluinnviðum. Varnarleysið uppgötvaðist af Bug Bounty þátttakanda sem leitaði eftir verðlaunum fyrir að finna öryggisvandamál. Málið hefur áhrif á bæði GitHub.com þjónustuna og GitHub Enterprise Server (GHES) stillingar sem keyra á notendakerfum.
Greining á annálum og úttekt á innviðum leiddi ekki í ljós nein ummerki um hagnýtingu á varnarleysinu í fortíðinni nema fyrir virkni rannsakandans sem tilkynnti um vandamálið. Hins vegar var innviði hafin til að skipta út öllum dulkóðunarlyklum og skilríkjum sem gætu hugsanlega verið í hættu ef varnarleysið var nýtt af árásarmanni. Skipting á innri lyklum leiddi til truflunar á sumri þjónustu frá 27. til 29. desember. GitHub stjórnendur reyndu að taka tillit til þeirra mistaka sem gerð voru við uppfærslu á lyklum sem hafa áhrif á viðskiptavini sem gerðar voru í gær.
Meðal annars hefur GPG lykillinn sem notaður er til að stafrænt undirrita skuldbindingar sem eru búnar til í gegnum GitHub vefritilinn þegar tekið er við pull-beiðnum á síðunni eða í gegnum Codespace verkfærakistuna verið uppfærður. Gamli lykillinn hætti að gilda 16. janúar klukkan 23:23 að Moskvutíma og nýr lykill hefur verið notaður í staðinn síðan í gær. Frá og með XNUMX. janúar verða allar nýjar skuldbindingar undirritaðar með fyrri lykli ekki merktar sem staðfestar á GitHub.
16. janúar uppfærði einnig opinberu lyklana sem notaðir voru til að dulkóða notendagögn send í gegnum API til GitHub Actions, GitHub Codespaces og Dependabot. Notendum sem nota opinbera lykla í eigu GitHub til að athuga skuldbindingar á staðnum og dulkóða gögn í flutningi er bent á að tryggja að þeir hafi uppfært GitHub GPG lykla sína þannig að kerfi þeirra haldi áfram að virka eftir að lyklunum hefur verið breytt.
GitHub hefur þegar lagað varnarleysið á GitHub.com og gefið út vöruuppfærslu fyrir GHES 3.8.13, 3.9.8, 3.10.5 og 3.11.3, sem felur í sér lagfæringu fyrir CVE-2024-0200 (óörugg notkun á hugleiðingum sem leiðir til keyrslu kóða eða notendastýrðar aðferðir á netþjóninum). Árás á staðbundnar GHES-stöðvar gæti verið framkvæmd ef árásarmaðurinn var með reikning með eigendaréttindum fyrirtækisins.
Heimild: opennet.ru