GitHub өндүрүш инфраструктурасында колдонулган контейнерлердеги айлана-чөйрөнүн өзгөрмөлөрүнүн мазмунуна кирүүгө мүмкүндүк берген алсыздыкты ачып берди. Алсыздыкты коопсуздук маселелерин тапкандыгы үчүн сыйлык издеген Bug Bounty программасынын катышуучусу тапкан. Маселе GitHub.com кызматына да, колдонуучу системаларында иштеген GitHub Enterprise Server (GHES) конфигурацияларына да таасирин тийгизет.
Журналдардын анализи жана инфраструктуранын аудити көйгөйдү билдирген изилдөөчүнүн ишмердүүлүгүнөн тышкары, өткөн мезгилде аялуу жерди пайдалануунун изин тапкан жок. Бирок, инфраструктура бардык шифрлөө ачкычтарын жана эсептик дайындарды алмаштыруу үчүн башталган, эгер алсыздык чабуулчу тарабынан пайдаланылса, бузулушу мүмкүн. Ички ачкычтарды алмаштыруу 27-декабрдан 29-декабрга чейин айрым кызматтардын үзгүлтүккө учурашына алып келди. GitHub администраторлору кечээ жасалган кардарларга таасир эткен ачкычтарды жаңыртуу учурунда кетирилген каталарды эске алууга аракет кылышкан.
Башка нерселер менен катар, GitHub веб-редактору аркылуу түзүлгөн милдеттенмелерге санариптик кол коюу үчүн колдонулган GPG ачкычы сайтта же Codespace инструменттери аркылуу тартуу сурамдарын кабыл алууда жаңыртылды. Эски ачкыч 16-январда Москва убактысы боюнча саат 23:23дө күчүн токтотуп, анын ордуна кечээтен бери жаңы ачкыч колдонула баштады. XNUMX-январдан баштап мурунку ачкыч менен кол коюлган бардык жаңы милдеттенмелер GitHub'да текшерилген деп белгиленбейт.
16-январда GitHub Actions, GitHub Codespaces жана Dependabot үчүн API аркылуу жөнөтүлгөн колдонуучунун маалыматтарын шифрлөө үчүн колдонулган ачык ачкычтар жаңырды. GitHubга таандык ачык ачкычтарды локалдык түрдө текшерүү жана транзиттик маалыматтарды шифрлөө үчүн колдонгон колдонуучуларга GitHub GPG ачкычтарын жаңыртып, системалары ачкычтар өзгөртүлгөндөн кийин иштей бериши үчүн сунушталат.
GitHub буга чейин GitHub.com сайтындагы алсыздыкты оңдогон жана CVE-3.8.13-3.9.8 үчүн оңдоону камтыган GHES 3.10.5, 3.11.3, 2024 жана 0200 үчүн өнүм жаңыртуусун чыгарды (чагылдырууларды кооптуу колдонуу коддун аткарылышы же сервер тарабында колдонуучу башкарган методдор). Жергиликтүү GHES орнотмолоруна кол салуу, эгерде чабуулчунун уюм ээси укуктарына ээ аккаунту болсо, ишке ашырылышы мүмкүн.
Source: opennet.ru