GitHub telah mendedahkan kelemahan yang membenarkan akses kepada kandungan pembolehubah persekitaran yang terdedah dalam bekas yang digunakan dalam infrastruktur pengeluaran. Kerentanan itu ditemui oleh peserta Bug Bounty yang mencari ganjaran untuk mencari isu keselamatan. Isu ini mempengaruhi konfigurasi perkhidmatan GitHub.com dan Pelayan Perusahaan GitHub (GHES) yang dijalankan pada sistem pengguna.
Analisis log dan audit infrastruktur tidak mendedahkan sebarang kesan eksploitasi terhadap kelemahan pada masa lalu kecuali aktiviti penyelidik yang melaporkan masalah tersebut. Walau bagaimanapun, infrastruktur telah dimulakan untuk menggantikan semua kunci penyulitan dan bukti kelayakan yang berpotensi terjejas jika kelemahan itu dieksploitasi oleh penyerang. Penggantian kunci dalaman menyebabkan gangguan beberapa perkhidmatan dari 27 hingga 29 Disember. Pentadbir GitHub cuba mengambil kira kesilapan yang dibuat semasa kemas kini kunci yang mempengaruhi pelanggan yang dibuat semalam.
Antara lain, kunci GPG yang digunakan untuk menandatangani komit secara digital yang dibuat melalui editor web GitHub apabila menerima permintaan tarik di tapak atau melalui kit alat Codespace telah dikemas kini. Kunci lama tidak lagi sah pada 16 Januari jam 23:23 waktu Moscow, dan kunci baharu telah digunakan sejak semalam. Mulai XNUMX Januari, semua komitmen baharu yang ditandatangani dengan kunci sebelumnya tidak akan ditanda sebagai disahkan pada GitHub.
16 Januari turut mengemas kini kunci awam yang digunakan untuk menyulitkan data pengguna yang dihantar melalui API ke GitHub Actions, GitHub Codespaces dan Dependabot. Pengguna yang menggunakan kunci awam yang dimiliki oleh GitHub untuk menyemak komit secara setempat dan menyulitkan data dalam transit dinasihatkan untuk memastikan bahawa mereka telah mengemas kini kunci GPG GitHub mereka supaya sistem mereka terus berfungsi selepas kunci ditukar.
GitHub telah pun membetulkan kelemahan pada GitHub.com dan mengeluarkan kemas kini produk untuk GHES 3.8.13, 3.9.8, 3.10.5 dan 3.11.3, yang termasuk pembetulan untuk CVE-2024-0200 (penggunaan pantulan yang tidak selamat yang membawa kepada pelaksanaan kod atau kaedah dikawal pengguna di bahagian pelayan). Serangan ke atas pemasangan GHES tempatan boleh dilakukan jika penyerang mempunyai akaun dengan hak pemilik organisasi.
Sumber: opennet.ru