ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಪರಿಸರ ವೇರಿಯಬಲ್ ಸೋರಿಕೆ ದುರ್ಬಲತೆಯಿಂದಾಗಿ GitHub GPG ಕೀಗಳನ್ನು ನವೀಕರಿಸಿದೆ

ಪರಿಸರ ವೇರಿಯಬಲ್ ಸೋರಿಕೆ ದುರ್ಬಲತೆಯಿಂದಾಗಿ GitHub GPG ಕೀಗಳನ್ನು ನವೀಕರಿಸಿದೆ

GitHub ಒಂದು ದುರ್ಬಲತೆಯನ್ನು ಬಹಿರಂಗಪಡಿಸಿದೆ ಅದು ಉತ್ಪಾದನಾ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಬಳಸುವ ಕಂಟೈನರ್‌ಗಳಲ್ಲಿ ತೆರೆದಿರುವ ಪರಿಸರ ವೇರಿಯಬಲ್‌ಗಳ ವಿಷಯಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಬಗ್ ಬೌಂಟಿ ಭಾಗವಹಿಸುವವರು ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳನ್ನು ಹುಡುಕಿದ್ದಕ್ಕಾಗಿ ಬಹುಮಾನವನ್ನು ಹುಡುಕುವ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗಿದೆ. ಸಮಸ್ಯೆಯು GitHub.com ಸೇವೆ ಮತ್ತು ಬಳಕೆದಾರರ ಸಿಸ್ಟಮ್‌ಗಳಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ GitHub ಎಂಟರ್‌ಪ್ರೈಸ್ ಸರ್ವರ್ (GHES) ಕಾನ್ಫಿಗರೇಶನ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ.

ಲಾಗ್‌ಗಳ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ಮೂಲಸೌಕರ್ಯದ ಲೆಕ್ಕಪರಿಶೋಧನೆಯು ಸಮಸ್ಯೆಯನ್ನು ವರದಿ ಮಾಡಿದ ಸಂಶೋಧಕರ ಚಟುವಟಿಕೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಹಿಂದೆ ದುರ್ಬಲತೆಯ ಶೋಷಣೆಯ ಯಾವುದೇ ಕುರುಹುಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲಿಲ್ಲ. ಆದಾಗ್ಯೂ, ಎಲ್ಲಾ ಎನ್‌ಕ್ರಿಪ್ಶನ್ ಕೀಗಳು ಮತ್ತು ರುಜುವಾತುಗಳನ್ನು ಬದಲಾಯಿಸಲು ಮೂಲಸೌಕರ್ಯವನ್ನು ಪ್ರಾರಂಭಿಸಲಾಯಿತು, ಅದು ಆಕ್ರಮಣಕಾರರಿಂದ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿದರೆ ಸಂಭಾವ್ಯವಾಗಿ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಬಹುದು. ಆಂತರಿಕ ಕೀಗಳ ಬದಲಾವಣೆಯು ಡಿಸೆಂಬರ್ 27 ರಿಂದ 29 ರವರೆಗೆ ಕೆಲವು ಸೇವೆಗಳನ್ನು ಅಡ್ಡಿಪಡಿಸಲು ಕಾರಣವಾಯಿತು. GitHub ನಿರ್ವಾಹಕರು ನಿನ್ನೆ ಮಾಡಿದ ಕ್ಲೈಂಟ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಕೀಗಳ ನವೀಕರಣದ ಸಮಯದಲ್ಲಿ ಮಾಡಿದ ತಪ್ಪುಗಳನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳಲು ಪ್ರಯತ್ನಿಸಿದ್ದಾರೆ.

ಇತರ ವಿಷಯಗಳ ಜೊತೆಗೆ, ಸೈಟ್‌ನಲ್ಲಿ ಪುಲ್ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸುವಾಗ ಅಥವಾ ಕೋಡ್‌ಸ್ಪೇಸ್ ಟೂಲ್‌ಕಿಟ್ ಮೂಲಕ ಗಿಟ್‌ಹಬ್ ವೆಬ್ ಎಡಿಟರ್ ಮೂಲಕ ರಚಿಸಲಾದ ಕಮಿಟ್‌ಗಳಿಗೆ ಡಿಜಿಟಲ್ ಸೈನ್ ಮಾಡಲು ಬಳಸುವ GPG ಕೀಯನ್ನು ನವೀಕರಿಸಲಾಗಿದೆ. ಹಳೆಯ ಕೀ ಜನವರಿ 16 ರಂದು ಮಾಸ್ಕೋ ಸಮಯ 23:23 ಕ್ಕೆ ಮಾನ್ಯವಾಗುವುದನ್ನು ನಿಲ್ಲಿಸಿತು ಮತ್ತು ನಿನ್ನೆಯಿಂದ ಹೊಸ ಕೀಲಿಯನ್ನು ಬಳಸಲಾಗಿದೆ. ಜನವರಿ XNUMX ರಿಂದ, ಹಿಂದಿನ ಕೀಲಿಯೊಂದಿಗೆ ಸಹಿ ಮಾಡಿದ ಎಲ್ಲಾ ಹೊಸ ಕಮಿಟ್‌ಗಳನ್ನು GitHub ನಲ್ಲಿ ಪರಿಶೀಲಿಸಲಾಗಿದೆ ಎಂದು ಗುರುತಿಸಲಾಗುವುದಿಲ್ಲ.

GitHub ಕ್ರಿಯೆಗಳು, GitHub ಕೋಡ್‌ಸ್ಪೇಸ್‌ಗಳು ಮತ್ತು Dependabot ಗೆ API ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಬಳಸುವ ಸಾರ್ವಜನಿಕ ಕೀಗಳನ್ನು ಜನವರಿ 16 ನವೀಕರಿಸಲಾಗಿದೆ. ಸ್ಥಳೀಯವಾಗಿ ಬದ್ಧತೆಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಟ್ರಾನ್ಸಿಟ್‌ನಲ್ಲಿ ಡೇಟಾವನ್ನು ಎನ್‌ಕ್ರಿಪ್ಟ್ ಮಾಡಲು GitHub ಒಡೆತನದ ಸಾರ್ವಜನಿಕ ಕೀಗಳನ್ನು ಬಳಸುವ ಬಳಕೆದಾರರು ತಮ್ಮ GitHub GPG ಕೀಗಳನ್ನು ನವೀಕರಿಸಿದ್ದಾರೆಯೇ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಸಲಹೆ ನೀಡಲಾಗುತ್ತದೆ, ಇದರಿಂದಾಗಿ ಕೀಗಳನ್ನು ಬದಲಾಯಿಸಿದ ನಂತರ ಅವರ ಸಿಸ್ಟಮ್‌ಗಳು ಕಾರ್ಯನಿರ್ವಹಿಸುವುದನ್ನು ಮುಂದುವರಿಸುತ್ತವೆ.

GitHub ಈಗಾಗಲೇ GitHub.com ನಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಿದೆ ಮತ್ತು GHES 3.8.13, 3.9.8, 3.10.5 ಮತ್ತು 3.11.3 ಗಾಗಿ ಉತ್ಪನ್ನ ನವೀಕರಣವನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ, ಇದು CVE-2024-0200 ಗಾಗಿ ಪರಿಹಾರವನ್ನು ಒಳಗೊಂಡಿದೆ (ಪ್ರತಿಫಲನಗಳ ಅಸುರಕ್ಷಿತ ಬಳಕೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅಥವಾ ಸರ್ವರ್ ಬದಿಯಲ್ಲಿ ಬಳಕೆದಾರ-ನಿಯಂತ್ರಿತ ವಿಧಾನಗಳು). ಆಕ್ರಮಣಕಾರರು ಸಂಸ್ಥೆಯ ಮಾಲೀಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಖಾತೆಯನ್ನು ಹೊಂದಿದ್ದರೆ ಸ್ಥಳೀಯ GHES ಸ್ಥಾಪನೆಗಳ ಮೇಲೆ ದಾಳಿಯನ್ನು ನಡೆಸಬಹುದು.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ