GitHub עדכנה מפתחות GPG עקב פגיעות דליפה של משתנה סביבה

GitHub חשפה פגיעות המאפשרת גישה לתוכן של משתני סביבה שנחשפו במכולות המשמשות בתשתית ייצור. הפגיעות התגלתה על ידי משתתף Bug Bounty שחיפש פרס על מציאת בעיות אבטחה. הבעיה משפיעה גם על שירות GitHub.com וגם על תצורות GitHub Enterprise Server (GHES) הפועלות במערכות משתמש.

ניתוח היומנים וביקורת התשתית לא העלו עקבות של ניצול של הפגיעות בעבר למעט פעילותו של החוקר שדיווח על הבעיה. עם זאת, התשתית החלה להחליף את כל מפתחות ההצפנה והאישורים שעלולים להיפגע אם הפגיעות מנוצלת על ידי תוקף. החלפת מפתחות פנימיים הובילה להפרעה בשירותים מסוימים בין ה-27 ל-29 בדצמבר. מנהלי GitHub ניסו לקחת בחשבון את הטעויות שנעשו במהלך עדכון המפתחות שהשפיעו על לקוחות שנעשו אתמול.

בין היתר, עודכן מפתח ה-GPG המשמש לחתימה דיגיטלית על התחייבויות שנוצרו באמצעות עורך האינטרנט של GitHub בעת קבלת בקשות משיכה באתר או באמצעות ערכת הכלים Codespace. המפתח הישן חדל להיות תקף ב-16 בינואר בשעה 23:23 שעון מוסקבה, ובמקומו נעשה שימוש במפתח חדש מאתמול. החל מה-XNUMX בינואר, כל ההתחייבויות החדשות שנחתמו עם המפתח הקודם לא יסומנו כמאומתות ב-GitHub.

16 בינואר גם עדכנו את המפתחות הציבוריים המשמשים להצפנת נתוני משתמש שנשלחו דרך ה-API ל-GitHub Actions, GitHub Codespaces ו-Dependabot. למשתמשים המשתמשים במפתחות ציבוריים בבעלות GitHub כדי לבדוק התחייבויות מקומיות ולהצפין נתונים במעבר, מומלץ לוודא שהם עדכנו את מפתחות GitHub GPG שלהם כך שהמערכות שלהם ימשיכו לפעול לאחר שינוי המפתחות.

GitHub כבר תיקן את הפגיעות ב-GitHub.com ושחרר עדכון מוצר עבור GHES 3.8.13, 3.9.8, 3.10.5 ו-3.11.3, הכולל תיקון עבור CVE-2024-0200 (שימוש לא בטוח בהשתקפויות המוביל ל ביצוע קוד או שיטות הנשלטות על ידי המשתמש בצד השרת). התקפה על התקנות GHES מקומיות יכולה להתבצע אם לתוקף היה חשבון עם זכויות בעלי הארגון.

מקור: OpenNet.ru