GitHub żvela vulnerabbiltà li tippermetti aċċess għall-kontenut tal-varjabbli ambjentali esposti f'kontenituri użati fl-infrastruttura tal-produzzjoni. Il-vulnerabbiltà ġiet skoperta minn parteċipant ta’ Bug Bounty li kien qed ifittex premju biex isib kwistjonijiet ta’ sigurtà. Il-kwistjoni taffettwa kemm is-servizz GitHub.com kif ukoll il-konfigurazzjonijiet tal-GitHub Enterprise Server (GHES) li jaħdmu fuq sistemi tal-utent.
L-analiżi tar-reġistri u l-awditjar tal-infrastruttura ma żvelaw l-ebda traċċi ta’ sfruttament tal-vulnerabbiltà fil-passat ħlief għall-attività tar-riċerkatur li rrapporta l-problema. Madankollu, l-infrastruttura nbdiet biex tissostitwixxi ċ-ċwievet u l-kredenzjali kollha tal-kriptaġġ li potenzjalment jistgħu jiġu kompromessi jekk il-vulnerabbiltà tiġi sfruttata minn attakkant. Is-sostituzzjoni taċ-ċwievet interni wasslet għal tfixkil ta’ xi servizzi mis-27 sad-29 ta’ Diċembru. L-amministraturi ta’ GitHub ippruvaw iqisu l-iżbalji li saru waqt l-aġġornament taċ-ċwievet li jaffettwaw lill-klijenti li saru lbieraħ.
Fost affarijiet oħra, iċ-ċavetta GPG użata biex tiffirma b'mod diġitali l-kommessi maħluqa permezz tal-editur tal-web GitHub meta taċċetta talbiet tal-ġibda fuq is-sit jew permezz tal-għodda Codespace ġiet aġġornata. Iċ-ċavetta l-qadima ma baqgħetx valida fis-16 ta’ Jannar fit-23:23 ħin ta’ Moska, u ċavetta ġdida intużat minflokha mill-bieraħ. Mit-XNUMX ta' Jannar, l-impenji l-ġodda kollha ffirmati biċ-ċavetta preċedenti mhux se jiġu mmarkati bħala verifikati fuq GitHub.
Is-16 ta’ Jannar aġġorna wkoll iċ-ċwievet pubbliċi użati biex jikkriptaw id-dejta tal-utent mibgħuta permezz tal-API lil GitHub Actions, GitHub Codespaces u Dependabot. L-utenti li jużaw iċ-ċwievet pubbliċi proprjetà ta' GitHub biex jiċċekkjaw l-impenji lokalment u jikkriptaw id-dejta waqt it-tranżitu huma avżati biex jiżguraw li jkunu aġġornaw iċ-ċwievet GPG GitHub tagħhom sabiex is-sistemi tagħhom jibqgħu jiffunzjonaw wara li ċ-ċwievet jinbidlu.
GitHub diġà rranġa l-vulnerabbiltà fuq GitHub.com u ħareġ aġġornament tal-prodott għal GHES 3.8.13, 3.9.8, 3.10.5 u 3.11.3, li jinkludi soluzzjoni għal CVE-2024-0200 (użu mhux sikur ta’ riflessjonijiet li jwassal għal eżekuzzjoni tal-kodiċi jew metodi kkontrollati mill-utent fuq in-naħa tas-server). Jista' jsir attakk fuq installazzjonijiet lokali tal-GHES jekk l-attakkant kellu kont bi drittijiet ta' sid tal-organizzazzjoni.
Sors: opennet.ru