GitHub dia nanambara ny vulnerable izay ahafahan'ny fidirana amin'ny votoatin'ny fari-piainan'ny tontolo iainana miseho amin'ny kaontenera ampiasaina amin'ny fotodrafitrasa famokarana. Ny vulnerability dia hitan'ny mpandray anjara Bug Bounty mitady valisoa amin'ny fitadiavana olana momba ny fiarovana. Ny olana dia misy fiantraikany amin'ny serivisy GitHub.com sy ny GitHub Enterprise Server (GHES) fandrindrana mandeha amin'ny rafitra mpampiasa.
Ny famakafakana ny logs sy ny fanaraha-maso ny fotodrafitrasa dia tsy nahitana soritra fanararaotana ny vulnerable taloha afa-tsy ny asan'ny mpikaroka izay nitatitra ny olana. Na izany aza, ny fotodrafitrasa dia natomboka mba hanoloana ny fanalahidin'ny fanafenana rehetra sy ny mari-pamantarana izay mety ho voatohintohina raha toa ka nohararaotin'ny mpanafika ilay vulnerable. Ny fanoloana ny fanalahidin'ny anatiny dia nitarika fahatapahan'ny serivisy sasany nanomboka ny 27 ka hatramin'ny 29 Desambra. Niezaka nandinika ireo lesoka natao nandritra ny fanavaozana ny fanalahidy mahakasika ny mpanjifa natao omaly ny mpitantana ny GitHub.
Ankoatra ny zavatra hafa, ny fanalahidin'ny GPG ampiasaina amin'ny sonia nomerika dia noforonina tamin'ny alΓ lan'ny tonian-dahatsoratra GitHub rehefa manaiky ny fangatahana fisintonana amin'ny tranokala na amin'ny alΓ lan'ny fitaovana Codespace dia nohavaozina. Nitsahatra tsy manan-kery intsony ny lakile taloha tamin'ny 16 Janoary tamin'ny 23:23 ora Moskoa, ary ny fanalahidy vaovao no nampiasaina nanomboka omaly. Manomboka ny XNUMX janoary, tsy ho voamarika ho voamarina ao amin'ny GitHub ny fanekena vaovao rehetra nosoniavina tamin'ny fanalahidy teo aloha.
Ny 16 Janoary dia nanavao ihany koa ny fanalahidin'ny daholobe ampiasaina amin'ny fanafenana ny angon-drakitra mpampiasa nalefa tamin'ny API ho an'ny GitHub Actions, GitHub Codespaces, ary Dependabot. Ireo mpampiasa izay mampiasa fanalahidin'ny daholobe izay an'ny GitHub mba hanamarinana ny fanoloran-tena eo an-toerana sy ny fanafenana angon-drakitra amin'ny fitaterana dia asaina miantoka fa nanavao ny fanalahidin'ny GPG GitHub izy ireo mba hahafahan'izy ireo miasa hatrany aorian'ny fanovana ny fanalahidy.
GitHub dia efa nanamboatra ny vulnerability ao amin'ny GitHub.com ary namoaka fanavaozana ny vokatra ho an'ny GHES 3.8.13, 3.9.8, 3.10.5 ary 3.11.3, izay misy fanamboarana ny CVE-2024-0200 (fampiasana tsy azo antoka ny fisaintsainana mitondra mankany famonoana kaody na fomba fehezin'ny mpampiasa eo amin'ny lafiny server). Mety hisy fanafihana ny fametrahana GHES eo an-toerana raha manana kaonty amin'ny zon'ny tompon'ny fikambanana ilay mpanafika.
Source: opennet.ru