GitHub は、運用インフラストラクチャで使用されるコンテナ内で公開されている環境変数の内容へのアクセスを可能にする脆弱性を公開しました。この脆弱性は、セキュリティ問題を発見して報酬を求めていたバグ報奨金参加者によって発見されました。この問題は、GitHub.com サービスとユーザー システムで実行されている GitHub Enterprise Server (GHES) 構成の両方に影響します。
ログの分析とインフラストラクチャの監査では、問題を報告した研究者の活動を除いて、過去にこの脆弱性が悪用された痕跡は明らかになりませんでした。ただし、このインフラストラクチャは、攻撃者によって脆弱性が悪用された場合に侵害される可能性があるすべての暗号化キーと資格情報を置き換えるために開始されました。内部キーの交換により、27 月 29 日から XNUMX 日まで一部のサービスが停止されました。 GitHub 管理者は、昨日行われたクライアントに影響を与えるキーの更新中に発生した間違いを考慮に入れようとしました。
特に、サイト上または Codespace ツールキットを通じてプル リクエストを受け入れるときに、GitHub Web エディターを通じて作成されたコミットにデジタル署名するために使用される GPG キーが更新されました。古いキーはモスクワ時間 16 月 23 日 23:XNUMX に有効でなくなり、昨日から代わりに新しいキーが使用されています。 XNUMX 月 XNUMX 日以降、以前のキーで署名されたすべての新しいコミットは、GitHub 上で検証済みとしてマークされなくなります。
16 月 XNUMX 日には、API 経由で GitHub Actions、GitHub Codespaces、Dependabot に送信されるユーザー データの暗号化に使用される公開キーも更新されました。 GitHub が所有する公開キーを使用してローカルでコミットを確認し、転送中のデータを暗号化するユーザーは、キーが変更された後もシステムが機能し続けるように、GitHub GPG キーを更新していることを確認することをお勧めします。
GitHub はすでに GitHub.com 上の脆弱性を修正し、GHES 3.8.13、3.9.8、3.10.5、および 3.11.3 の製品アップデートをリリースしました。これには CVE-2024-0200 (リフレクションの安全でない使用が原因で、コードの実行またはサーバー側のユーザー制御メソッド)。攻撃者が組織の所有者権限を持つアカウントを持っている場合、ローカルの GHES インストールに対する攻撃が実行される可能性があります。
出所: オープンネット.ru