GitHub는 환경 변수 누출 취약점으로 인해 GPG 키를 업데이트했습니다.

GitHub는 프로덕션 인프라에 사용되는 컨테이너에 노출된 환경 변수의 콘텐츠에 액세스할 수 있는 취약점을 공개했습니다. 이 취약점은 보안 문제 발견에 대한 보상을 요구하는 Bug Bounty 참가자에 의해 발견되었습니다. 이 문제는 사용자 시스템에서 실행되는 GitHub.com 서비스와 GitHub Enterprise Server(GHES) 구성 모두에 영향을 미칩니다.

인프라에 대한 로그 분석 및 감사 결과, 문제를 보고한 연구원의 활동 외에는 과거 취약점을 악용한 흔적은 전혀 드러나지 않았습니다. 그러나 공격자가 취약점을 악용할 경우 잠재적으로 손상될 수 있는 모든 암호화 키와 자격 증명을 교체하기 위해 인프라가 시작되었습니다. 내부 키 교체로 인해 27월 29일부터 XNUMX일까지 일부 서비스가 중단되었습니다. GitHub 관리자는 어제 클라이언트에 영향을 미치는 키를 업데이트하는 동안 발생한 실수를 고려하려고 노력했습니다.

무엇보다도 사이트에서 끌어오기 요청을 수락할 때 GitHub 웹 편집기를 통해 생성되거나 Codespace 도구 키트를 통해 생성된 커밋에 디지털 서명하는 데 사용되는 GPG 키가 업데이트되었습니다. 이전 키는 모스크바 시간으로 16월 23일 23:XNUMX에 유효하지 않으며 어제부터 새 키가 대신 사용되었습니다. XNUMX월 XNUMX일부터 이전 키로 서명된 모든 새 커밋은 GitHub에서 확인된 것으로 표시되지 않습니다.

16월 XNUMX일에는 API를 통해 GitHub Actions, GitHub Codespaces 및 dependencyabot으로 전송되는 사용자 데이터를 암호화하는 데 사용되는 공개 키도 업데이트되었습니다. GitHub가 소유한 공개 키를 사용하여 로컬에서 커밋을 확인하고 전송 중인 데이터를 암호화하는 사용자는 키가 변경된 후에도 시스템이 계속 작동할 수 있도록 GitHub GPG 키를 업데이트했는지 확인하는 것이 좋습니다.

GitHub는 이미 GitHub.com의 취약성을 수정했으며 CVE-3.8.13-3.9.8에 대한 수정 사항이 포함된 GHES 3.10.5, 3.11.3, 2024 및 0200에 대한 제품 업데이트를 출시했습니다. 코드 실행 또는 서버 측의 사용자 제어 방법). 공격자가 조직 소유자 권한을 가진 계정을 가지고 있는 경우 로컬 GHES 설치에 대한 공격이 수행될 수 있습니다.

출처 : opennet.ru