GitHub нь үйлдвэрлэлийн дэд бүтцэд ашиглагдаж буй чингэлэгт ил гарсан орчны хувьсагчийн агуулгад хандах боломжийг олгодог эмзэг байдлыг илрүүлсэн. Энэ эмзэг байдлыг Bug Bounty-ийн оролцогч аюулгүй байдлын асуудлыг олж мэдсэнийхээ төлөө шагнал авахыг хүссэн хүн илрүүлсэн. Асуудал нь GitHub.com үйлчилгээ болон хэрэглэгчийн систем дээр ажиллаж байгаа GitHub Enterprise Server (GHES) тохиргоонд хоёуланд нь нөлөөлж байна.
Бүртгэлд хийсэн дүн шинжилгээ, дэд бүтцийн аудитын явцад уг асуудлыг мэдээлсэн судлаачийн үйл ажиллагаанаас бусад тохиолдолд өнгөрсөн хугацаанд эмзэг байдлыг ашигласан ул мөр илрээгүй. Гэсэн хэдий ч эмзэг байдлыг халдагч ашигласан тохиолдолд эвдэгдэж болзошгүй бүх шифрлэлтийн түлхүүр, итгэмжлэлийг солих дэд бүтцийг эхлүүлсэн. Дотоод түлхүүрүүдийг сольсон нь 27-р сарын 29-ноос XNUMX-ний хооронд зарим үйлчилгээ тасалдахад хүргэсэн. GitHub-ын администраторууд өчигдөр хийсэн үйлчлүүлэгчдэд нөлөөлж буй түлхүүрүүдийг шинэчлэх явцад гарсан алдаануудыг анхаарч үзэхийг хичээсэн.
Бусад зүйлсийн дотор сайт дээр татах хүсэлтийг хүлээн авах эсвэл Codespace хэрэглүүрээр дамжуулан GitHub вэб засварлагчаар үүсгэсэн үүрэг даалгаварт дижитал гарын үсэг зурахад ашигладаг GPG түлхүүр шинэчлэгдсэн. Хуучин түлхүүр 16-р сарын 23-ны өдөр Москвагийн цагаар 23:XNUMX цагт хүчинтэй байхаа больсон бөгөөд өчигдрөөс эхлэн оронд нь шинэ түлхүүр ашиглаж байна. XNUMX-р сарын XNUMX-аас эхлэн өмнөх түлхүүрээр гарын үсэг зурсан бүх шинэ амлалтуудыг GitHub дээр баталгаажуулсан гэж тэмдэглэхгүй.
16-р сарын XNUMX-нд API-ээр дамжуулан GitHub Actions, GitHub Codespaces, Dependabot руу илгээсэн хэрэглэгчийн өгөгдлийг шифрлэхэд ашигладаг нийтийн түлхүүрүүдийг шинэчилсэн. GitHub-ийн эзэмшдэг нийтийн түлхүүрүүдийг орон нутгийн хэмжээнд шалгаж, дамжуулж буй өгөгдлийг шифрлэх зорилгоор ашигладаг хэрэглэгчид GitHub GPG түлхүүрээ шинэчилсэн байх ёстой бөгөөд ингэснээр түлхүүр солигдсоны дараа системүүд нь үргэлжлүүлэн ажиллахыг зөвлөж байна.
GitHub нь GitHub.com дээрх эмзэг байдлыг аль хэдийн зассан бөгөөд GHES 3.8.13, 3.9.8, 3.10.5 болон 3.11.3-д зориулсан бүтээгдэхүүний шинэчлэлтийг гаргасан бөгөөд үүнд CVE-2024-0200-д зориулсан засвар (эргэлтийг аюултай ашиглах) багтсан болно. сервер талд код гүйцэтгэх эсвэл хэрэглэгчийн хяналттай аргууд). Халдагчид байгууллагын эзэмшигчийн эрхтэй данстай байсан бол орон нутгийн GHES суурилуулалт руу халдлага үйлдэх боломжтой.
Эх сурвалж: opennet.ru