GitHub wis ngumumake kerentanan sing ngidini akses menyang isi variabel lingkungan sing kapapar ing wadhah sing digunakake ing infrastruktur produksi. Kerentanan kasebut ditemokake dening peserta Bug Bounty sing golek ganjaran kanggo nemokake masalah keamanan. Masalah kasebut mengaruhi layanan GitHub.com lan konfigurasi GitHub Enterprise Server (GHES) sing mlaku ing sistem pangguna.
Analisis log lan audit infrastruktur ora ngungkapake jejak eksploitasi kerentanan ing jaman kepungkur kajaba aktivitas peneliti sing nglaporake masalah kasebut. Nanging, infrastruktur kasebut diwiwiti kanggo ngganti kabeh kunci enkripsi lan kredensial sing bisa dikompromi yen kerentanan kasebut dieksploitasi dening panyerang. Ganti kunci internal nyebabake gangguan sawetara layanan wiwit tanggal 27 nganti 29 Desember. Administrator GitHub nyoba nggatekake kesalahan sing ditindakake sajrone nganyari kunci sing mengaruhi klien sing ditindakake wingi.
Antarane liyane, kunci GPG sing digunakake kanggo mlebu digital komit digawe liwat editor web GitHub nalika nampa panjalukan narik ing situs utawa liwat toolkit Codespace wis dianyari. Tombol lawas ora sah nalika tanggal 16 Januari jam 23:23 wektu Moskow, lan kunci anyar wis digunakake wiwit wingi. Wiwit tanggal XNUMX Januari, kabeh komitmen anyar sing ditandatangani nganggo kunci sadurunge ora bakal ditandhani minangka diverifikasi ing GitHub.
16 Januari uga nganyari kunci umum sing digunakake kanggo ndhelik data pangguna sing dikirim liwat API menyang GitHub Actions, GitHub Codespaces, lan Dependabot. Pangguna sing nggunakake kunci umum sing diduweni dening GitHub kanggo mriksa komit lokal lan ndhelik data ing transit disaranake kanggo mesthekake yen dheweke wis nganyari kunci GPG GitHub supaya sisteme terus bisa digunakake sawise tombol diganti.
GitHub wis ndandani kerentanan ing GitHub.com lan ngrilis nganyari produk kanggo GHES 3.8.13, 3.9.8, 3.10.5 lan 3.11.3, sing kalebu fix kanggo CVE-2024-0200 (nggunakake refleksi sing ora aman eksekusi kode utawa cara sing dikontrol pangguna ing sisih server). Serangan ing panginstalan GHES lokal bisa ditindakake yen panyerang duwe akun karo hak pemilik organisasi.
Source: opennet.ru