GitHub huet eng Schwachstelle verroden, déi Zougang zu den Inhalter vun Ëmfeldvariablen erlaabt, déi a Container ausgesat sinn, déi an der Produktiounsinfrastruktur benotzt ginn. D'Vulnerabilitéit gouf entdeckt vun engem Bug Bounty Participant deen eng Belounung gesicht huet fir Sécherheetsprobleemer ze fannen. D'Thema beaflosst souwuel de GitHub.com Service wéi och GitHub Enterprise Server (GHES) Konfiguratiounen déi op Benotzersystemer lafen.
Analyse vun de Logbicher an Audit vun der Infrastruktur huet keng Spure vun der Ausbeutung vun der Schwachstelle an der Vergaangenheet opgedeckt, ausser fir d'Aktivitéit vum Fuerscher, deen de Problem gemellt huet. Wéi och ëmmer, d'Infrastruktur gouf initiéiert fir all Verschlësselungsschlësselen an Umeldungsinformatiounen ze ersetzen, déi potenziell kompromittéiert kënne ginn, wann d'Schwachheet vun engem Angreifer exploitéiert gouf. Den Ersatz vun internen Schlësselen huet zu enger Stéierung vun e puer Servicer vum 27. bis den 29. Dezember gefouert. GitHub Administrateuren hu probéiert d'Feeler ze berücksichtegen, déi während dem Update vu Schlësselen gemaach goufen, déi Cliente gëschter beaflossen.
Ënner anerem ass de GPG-Schlëssel benotzt fir Verpflichtungen digital z'ënnerschreiwen, déi duerch de GitHub Webeditor erstallt goufen wann Dir Pull-Ufroen op der Säit akzeptéiert oder duerch de Codespace Toolkit aktualiséiert gouf. Den ale Schlëssel huet opgehalen de 16. Januar um 23:23 Moskauer Zäit valabel ze sinn, an en neie Schlëssel gouf amplaz zënter gëschter benotzt. Vum XNUMX. Januar un, ginn all nei Verpflichtungen ënnerschriwwen mam fréiere Schlëssel net als verifizéiert op GitHub markéiert.
De 16. Januar huet och d'ëffentlech Schlësselen aktualiséiert, déi benotzt gi fir Benotzerdaten ze verschlësselen, déi iwwer d'API op GitHub Actions, GitHub Codespaces, an Dependabot geschéckt ginn. D'Benotzer déi ëffentlech Schlësselen am Besëtz vum GitHub benotze fir Verpflichtungen lokal ze kontrolléieren an Daten am Transit ze verschlësselen ginn ugeroden ze garantéieren datt se hir GitHub GPG Schlësselen aktualiséiert hunn, sou datt hir Systemer weider funktionnéieren nodeems d'Schlëssel geännert ginn.
GitHub huet schonn d'Vulnerabilitéit op GitHub.com fixéiert an e Produktupdate fir GHES 3.8.13, 3.9.8, 3.10.5 an 3.11.3 verëffentlecht, wat e Fix fir CVE-2024-0200 enthält (onsécher Notzung vu Reflexiounen déi zu Code Ausféierung oder Benotzer-kontrolléiert Methoden op der Server Säit). Eng Attack op lokal GHES Installatiounen kéint duerchgefouert ginn, wann den Ugräifer e Kont mat Organisatioun Besëtzer Rechter haten.
Source: opennet.ru