GitHub qelsiyek eşkere kiriye ku destûrê dide gihandina naveroka guhêrbarên hawîrdorê yên ku di konteyneran de di binesaziya hilberînê de têne bikar anîn. Zelalbûn ji hêla beşdarek Bug Bounty ve hate kifş kirin ku ji bo dîtina pirsgirêkên ewlehiyê xelatek digere. Pirsgirêk hem karûbarê GitHub.com û hem jî mîhengên Servera Pargîdaniya GitHub (GHES) ku li ser pergalên bikarhêner têne xebitandin bandor dike.
Analîza têketin û kontrolkirina binesaziyê ji bilî çalakiya lêkolînerê ku pirsgirêk ragihandiye, ti şopên îstismarkirina qelsbûnê di paşerojê de eşkere nekir. Lêbelê, binesaziyê hate destpêkirin da ku li şûna hemî mifteyên şîfrekirinê û pêbaweriyên ku bi potansiyel dikarin werin tawîz kirin ger qelsî ji hêla êrîşkerek ve were bikar anîn hate destpêkirin. Guhertina mifteyên navxweyî ji 27 heta 29ê Kanûnê bû sedema astengkirina hin karûbaran. Rêvebirên GitHub hewl dan ku xeletiyên ku di dema nûvekirina mifteyên ku duh li ser xerîdarên ku hatine çêkirin de hatine çêkirin hesab bikin.
Di nav tiştên din de, mifteya GPG-ê ya ku ji bo îmzekirina dîjîtal sozên ku bi navgîniya edîtorê tevnerê GitHub ve hatî çêkirin dema ku daxwazên kişandina li ser malperê qebûl dike an bi navgîniya amûrê Codespace ve hatî nûve kirin tê bikar anîn. Mifteya kevin di 16ê Çile saet 23:23 de bi dema Moskowê derbasdar bû û ji duh ve mifteya nû tê bikaranîn. Ji XNUMXê Çileyê pê ve, hemî peywirên nû yên ku bi mifteya berê hatine îmzekirin dê li ser GitHub wekî pejirandî neyên nîşankirin.
16ê Çile di heman demê de mifteyên gelemperî yên ku ji bo şîfrekirina daneyên bikarhêner ên ku bi API-yê ji GitHub Actions, GitHub Codespaces, û Dependabot re hatine şandin nûve kirin. Bikarhênerên ku mifteyên giştî yên xwedan GitHub bikar tînin da ku lihevhatinên herêmî kontrol bikin û daneyên di veguheztinê de şîfre bikin, tê şîret kirin ku wan bişkokên GitHub GPG-ya xwe nûve kirine da ku pergalên wan piştî guheztina kilîtan kar bikin.
GitHub jixwe qelsiya li ser GitHub.com rast kiriye û nûvekirinek hilberek ji bo GHES 3.8.13, 3.9.8, 3.10.5 û 3.11.3 derxistiye, ku tê de rastkirinek ji bo CVE-2024-0200 (bikaranîna neewle ya refleksên ku ber bi darvekirina kodê an rêbazên bikarhêner-kontrolkirî yên li aliyê serverê). Heger êrîşkar bi mafên xwedan rêxistinê re xwedî hesab be, dibe ku êrîşek li ser sazgehên GHES yên herêmî were kirin.
Source: opennet.ru