GitHub ha rilevato una vulnerabilità che consente l'accesso ai contenuti delle variabili d'ambiente esposte nei contenitori utilizzati nell'infrastruttura di produzione. La vulnerabilità è stata scoperta da un partecipante al Bug Bounty che cercava una ricompensa per aver individuato problemi di sicurezza. Il problema riguarda sia il servizio GitHub.com che le configurazioni GitHub Enterprise Server (GHES) in esecuzione sui sistemi utente.
Dall'analisi dei log e dall'audit dell'infrastruttura non sono emerse tracce di sfruttamento della vulnerabilità in passato se non l'attività del ricercatore che ha segnalato il problema. Tuttavia, l’infrastruttura è stata avviata per sostituire tutte le chiavi di crittografia e le credenziali che potrebbero essere potenzialmente compromesse se la vulnerabilità venisse sfruttata da un utente malintenzionato. La sostituzione delle chiavi interne ha comportato l'interruzione di alcuni servizi dal 27 al 29 dicembre. Gli amministratori di GitHub hanno cercato di tenere conto degli errori commessi durante l'aggiornamento delle chiavi relative ai client effettuato ieri.
Tra le altre cose, è stata aggiornata la chiave GPG utilizzata per firmare digitalmente i commit creati tramite l'editor web GitHub quando si accettano richieste pull sul sito o tramite il toolkit Codespace. La vecchia chiave ha cessato di essere valida il 16 gennaio alle 23:23, ora di Mosca, e da ieri viene utilizzata una nuova chiave. A partire dal XNUMX gennaio, tutti i nuovi commit firmati con la chiave precedente non verranno contrassegnati come verificati su GitHub.
Il 16 gennaio sono state aggiornate anche le chiavi pubbliche utilizzate per crittografare i dati utente inviati tramite l'API a GitHub Actions, GitHub Codespaces e Dependabot. Si consiglia agli utenti che utilizzano chiavi pubbliche di proprietà di GitHub per verificare i commit localmente e crittografare i dati in transito di assicurarsi di aver aggiornato le proprie chiavi GPG GitHub in modo che i loro sistemi continuino a funzionare dopo la modifica delle chiavi.
GitHub ha già risolto la vulnerabilità su GitHub.com e rilasciato un aggiornamento del prodotto per GHES 3.8.13, 3.9.8, 3.10.5 e 3.11.3, che include una correzione per CVE-2024-0200 (uso non sicuro delle riflessioni che portano a esecuzione del codice o metodi controllati dall'utente sul lato server). Un attacco alle installazioni GHES locali potrebbe essere effettuato se l'aggressore avesse un account con diritti di proprietario dell'organizzazione.
Fonte: opennet.ru