GitHub өндірістік инфрақұрылымда пайдаланылатын контейнерлерде ашылған ортаның айнымалы мәндерінің мазмұнына қол жеткізуге мүмкіндік беретін осалдықты ашты. Бұл осалдықты қауіпсіздік мәселелерін тапқаны үшін сыйақы іздеген Bug Bounty қатысушысы тапты. Мәселе GitHub.com қызметіне де, пайдаланушы жүйелерінде жұмыс істейтін GitHub Enterprise Server (GHES) конфигурацияларына да әсер етеді.
Журналдарды талдау және инфрақұрылымның аудиті проблема туралы хабарлаған зерттеушінің әрекетін қоспағанда, өткен уақытта осалдықты пайдаланудың іздерін анықтаған жоқ. Дегенмен, осалдықты шабуылдаушы пайдаланса, бүлінуі мүмкін барлық шифрлау кілттері мен тіркелгі деректерін ауыстыру үшін инфрақұрылым іске қосылды. Ішкі кілттерді ауыстыру 27-29 желтоқсан аралығында кейбір қызметтердің үзілуіне әкелді. GitHub әкімшілері кеше жасалған клиенттерге әсер ететін кілттерді жаңарту кезінде жіберілген қателерді ескеруге тырысты.
Басқа нәрселермен қатар, сайтта немесе Codespace құралдар жинағы арқылы тарту сұрауларын қабылдаған кезде GitHub веб-редакторы арқылы жасалған міндеттемелерге сандық қол қою үшін пайдаланылатын GPG кілті жаңартылды. Ескі кілт 16 қаңтарда Мәскеу уақытымен 23:23-де өз жұмысын тоқтатты, оның орнына кешеден бері жаңа кілт қолданылды. XNUMX қаңтардан бастап алдыңғы кілтпен қол қойылған барлық жаңа міндеттемелер GitHub сайтында расталған деп белгіленбейді.
16 қаңтарда API арқылы GitHub Actions, GitHub Codespaces және Dependabot қызметтеріне жіберілген пайдаланушы деректерін шифрлау үшін пайдаланылатын ашық кілттер жаңартылды. Тапсырмаларды жергілікті тексеру және транзиттегі деректерді шифрлау үшін GitHub иелігіндегі ашық кілттерді пайдаланатын пайдаланушыларға GitHub GPG кілттерін жаңартқанына көз жеткізу ұсынылады, осылайша олардың жүйелері кілттер өзгертілгеннен кейін де жұмыс істей береді.
GitHub GitHub.com сайтындағы осалдықты түзетіп қойған және GHES 3.8.13, 3.9.8, 3.10.5 және 3.11.3 үшін өнім жаңартуын шығарды, оған CVE-2024-0200 үшін түзету кіреді (шағылыстарды қауіпті пайдалану кодты орындау немесе сервер жағында пайдаланушы басқаратын әдістер). Жергілікті GHES қондырғыларына шабуыл, егер шабуылдаушыда ұйым иесі құқықтары бар тіркелгісі болса, жасалуы мүмкін.
Ақпарат көзі: opennet.ru