„GitHub“ atskleidė pažeidžiamumą, leidžiantį pasiekti aplinkos kintamųjų turinį, rodomą gamybos infrastruktūroje naudojamuose konteineriuose. Pažeidžiamumą aptiko „Bug Bounty“ dalyvis, siekęs atlygio už saugumo problemų radimą. Problema turi įtakos ir GitHub.com paslaugai, ir GitHub Enterprise Server (GHES) konfigūracijoms, veikiančioms vartotojų sistemose.
Žurnalų analizė ir infrastruktūros auditas neatskleidė jokių pažeidžiamumo išnaudojimo praeityje pėdsakų, išskyrus tyrėjo, kuris pranešė apie problemą, veiklą. Tačiau infrastruktūra buvo sukurta siekiant pakeisti visus šifravimo raktus ir kredencialus, kurie gali būti pažeisti, jei pažeidžiamumu pasinaudotų užpuolikas. Dėl vidinių raktų pakeitimo gruodžio 27–29 dienomis sutriko kai kurių paslaugų teikimas. „GitHub“ administratoriai stengėsi atsižvelgti į klaidas, padarytas vakar atnaujinant raktus, turinčius įtakos klientams.
Be kita ko, buvo atnaujintas GPG raktas, naudojamas skaitmeniniam įsipareigojimų, sukurtų naudojant GitHub žiniatinklio rengyklę, pasirašymui, kai priimami ištraukimo užklausos svetainėje arba naudojant Codespace įrankių rinkinį. Senasis raktas nustojo galioti sausio 16 d., 23:23 Maskvos laiku, o nuo vakar vietoj jo naudojamas naujas. Nuo sausio XNUMX d. visi nauji įsipareigojimai, pasirašyti naudojant ankstesnį raktą, nebus pažymėti kaip patvirtinti „GitHub“.
Sausio 16 d. taip pat atnaujinti viešieji raktai, naudojami šifruoti vartotojo duomenis, siunčiamus per API į „GitHub Actions“, „GitHub Codespaces“ ir „Dependabot“. Naudotojams, kurie naudoja GitHub priklausančius viešuosius raktus, kad patikrintų įsipareigojimus vietoje ir užšifruotų perduodamus duomenis, patariama įsitikinti, kad jie atnaujino savo GitHub GPG raktus, kad jų sistemos veiktų ir pakeitus raktus.
GitHub jau ištaisė pažeidžiamumą svetainėje GitHub.com ir išleido GHES 3.8.13, 3.9.8, 3.10.5 ir 3.11.3 produkto naujinimą, kuriame yra pataisa CVE-2024-0200 (nesaugus atspindžių naudojimas kodo vykdymas arba vartotojo valdomi metodai serverio pusėje). Ataka prieš vietinius GHES įrenginius gali būti įvykdyta, jei užpuolikas turėtų paskyrą su organizacijos savininko teisėmis.
Šaltinis: opennet.ru