GitHub ir atklājis ievainojamību, kas ļauj piekļūt vides mainīgo saturam, kas ir pakļauts ražošanas infrastruktūrā izmantotajos konteineros. Ievainojamību atklāja Bug Bounty dalībnieks, meklējot atlīdzību par drošības problēmu atrašanu. Problēma skar gan pakalpojumu GitHub.com, gan GitHub Enterprise Server (GHES) konfigurācijas, kas darbojas lietotāju sistēmās.
Žurnālu analīze un infrastruktūras audits neatklāja nekādas ievainojamības izmantošanas pēdas pagātnē, izņemot pētnieka darbību, kurš ziņoja par problēmu. Tomēr infrastruktūra tika uzsākta, lai aizstātu visas šifrēšanas atslēgas un akreditācijas datus, kas varētu tikt apdraudēti, ja uzbrucējs izmantos ievainojamību. Iekšējo atslēgu nomaiņa izraisīja dažu pakalpojumu traucējumus no 27. līdz 29. decembrim. GitHub administratori centās ņemt vērā vakar pieļautās kļūdas, kas tika pieļautas klientus ietekmējošo atslēgu atjaunināšanas laikā.
Cita starpā ir atjaunināta GPG atslēga, kas tiek izmantota, lai digitāli parakstītu saistības, kas izveidotas, izmantojot GitHub tīmekļa redaktoru, pieņemot piesaistes pieprasījumus vietnē vai izmantojot Codespace rīkkopu. Vecā atslēga beidza darboties 16. janvārī pulksten 23:23 pēc Maskavas laika, un kopš vakardienas tās vietā tiek izmantota jauna atslēga. Sākot ar XNUMX. janvāri, visas jaunās saistības, kas parakstītas ar iepriekšējo atslēgu, GitHub netiks atzīmētas kā verificētas.
16. janvārī tika atjauninātas arī publiskās atslēgas, ko izmanto, lai šifrētu lietotāju datus, kas, izmantojot API, nosūtīti GitHub Actions, GitHub Codespaces un Dependabot. Lietotājiem, kuri izmanto GitHub piederošās publiskās atslēgas, lai pārbaudītu vietējās saistības un šifrētu sūtīšanas datus, ir ieteicams nodrošināt, ka viņi ir atjauninājuši savas GitHub GPG atslēgas, lai viņu sistēmas turpinātu darboties arī pēc atslēgu maiņas.
GitHub jau ir novērsis ievainojamību vietnē GitHub.com un izlaidis produkta atjauninājumu GHES 3.8.13, 3.9.8, 3.10.5 un 3.11.3, kas ietver labojumu CVE-2024-0200 (nedroša atspulgu izmantošana, kas izraisa koda izpilde vai lietotāja kontrolētas metodes servera pusē). Uzbrukums vietējām GHES instalācijām var tikt veikts, ja uzbrucējam būtu konts ar organizācijas īpašnieka tiesībām.
Avots: opennet.ru