GitHub သည် ထုတ်လုပ်မှုအခြေခံအဆောက်အအုံတွင်အသုံးပြုသည့် ကွန်တိန်နာများတွင် ထိတွေ့နေသော ပတ်ဝန်းကျင်ပြောင်းလဲမှုဆိုင်ရာ အကြောင်းအရာများကို ဝင်ရောက်ကြည့်ရှုခွင့်ပေးသည့် အားနည်းချက်တစ်ခုကို ထုတ်ဖော်ခဲ့သည်။ လုံခြုံရေးဆိုင်ရာ ပြဿနာများကို ရှာဖွေခြင်းအတွက် ဆုလာဘ်ကို ရှာဖွေနေသည့် Bug Bounty ပါဝင်သူတစ်ဦးမှ အားနည်းချက်ကို ရှာဖွေတွေ့ရှိခဲ့သည်။ အဆိုပါပြဿနာသည် အသုံးပြုသူစနစ်များပေါ်တွင် လုပ်ဆောင်နေသည့် GitHub.com ဝန်ဆောင်မှုနှင့် GitHub Enterprise Server (GHES) စီစဉ်သတ်မှတ်မှုများအပေါ် သက်ရောက်မှုရှိသည်။
အခြေခံအဆောက်အအုံဆိုင်ရာ မှတ်တမ်းများနှင့် စာရင်းစစ်များကို ခွဲခြမ်းစိတ်ဖြာခြင်းသည် ပြဿနာကို အစီရင်ခံတင်ပြသူ သုတေသီ၏ လုပ်ဆောင်မှုမှလွဲ၍ ယခင်က အားနည်းချက်ကို အမြတ်ထုတ်ခြင်း၏ ခြေရာများကို မဖော်ပြခဲ့ပါ။ သို့သော်လည်း၊ အားနည်းချက်ကို တိုက်ခိုက်သူမှ အသုံးချခံရပါက ထိခိုက်နိုင်ချေရှိသော ကုဒ်ဝှက်ကီးများနှင့် အထောက်အထားများအားလုံးကို အစားထိုးရန်အတွက် အခြေခံအဆောက်အအုံကို စတင်ခဲ့ခြင်းဖြစ်သည်။ အတွင်းသော့များကို အစားထိုးခြင်းသည် ဒီဇင်ဘာ ၂၇ မှ ၂၉ ရက်အထိ အချို့သောဝန်ဆောင်မှုများကို အနှောင့်အယှက်ဖြစ်စေသည်။ GitHub စီမံခန့်ခွဲသူများသည် ယမန်နေ့က ပြုလုပ်ခဲ့သော ဖောက်သည်များအပေါ် သက်ရောက်သော သော့များ မွမ်းမံစဉ်အတွင်း ပြုလုပ်ခဲ့သော အမှားများကို ထည့်သွင်းစဉ်းစားရန် ကြိုးစားခဲ့ကြသည်။
အခြားအရာများထဲတွင်၊ ဆိုက်ပေါ်ရှိ ဆွဲငင်တောင်းဆိုမှုများကို လက်ခံခြင်း သို့မဟုတ် Codespace ကိရိယာအစုံမှတဆင့် အပ်ဒိတ်လုပ်သောအခါတွင် GitHub ဝဘ်အယ်ဒီတာမှတစ်ဆင့် ဖန်တီးထားသော ဒစ်ဂျစ်တယ်စနစ်ဖြင့် လက်မှတ်ထိုးရန် အသုံးပြုသည့် GPG သော့ကို အပ်ဒိတ်လုပ်ထားသည်။ မော်စကိုမြို့စံတော်ချိန် ၂၃ နာရီတွင် ဇန်နဝါရီ ၁၆ ရက်တွင် သော့ဟောင်းသည် သက်တမ်းမရှိတော့ဘဲ ယမန်နေ့ကတည်းက သော့အသစ်ကို အစားထိုးအသုံးပြုခဲ့သည်။ ဇန်နဝါရီ 16 ရက်နေ့မှ စတင်၍ ယခင်သော့ဖြင့် လက်မှတ်ရေးထိုးထားသော ကတိကဝတ်အသစ်များအားလုံးကို GitHub တွင် စစ်ဆေးပြီးကြောင်း အမှတ်အသားပြုမည်မဟုတ်ပါ။
ဇန်နဝါရီ 16 တွင် API မှတဆင့်ပေးပို့သော သုံးစွဲသူဒေတာကို စာဝှက်ရန်အသုံးပြုသည့် အများသူငှာသော့များကို GitHub လုပ်ဆောင်ချက်များ၊ GitHub Codespaces နှင့် Dependabot သို့ အပ်ဒိတ်လုပ်ခဲ့သည်။ သော့များပြောင်းလဲပြီးနောက် ၎င်းတို့၏စနစ်များ ဆက်လက်လုပ်ဆောင်နိုင်ရန် ၎င်းတို့၏ GitHub ပိုင်ဆိုင်သော အများသူငှာသော့များကို အသုံးပြုသူများနှင့် အကူးအပြောင်းတွင် ဒေတာစာဝှက်ခြင်းတို့ကို စစ်ဆေးရန် အကြံပြုထားသည်။
GitHub သည် GitHub.com တွင် အားနည်းချက်ကို ပြင်ဆင်ပြီးဖြစ်ကာ GHES 3.8.13၊ 3.9.8၊ 3.10.5 နှင့် 3.11.3 အတွက် CVE-2024-0200 အတွက် ပြင်ဆင်မှုတစ်ခုပါဝင်သည့် GHES XNUMX၊ XNUMX၊ XNUMX နှင့် XNUMX (ရောင်ပြန်ဟပ်မှုများကို အန္တရာယ်ကင်းစွာအသုံးပြုခြင်း) ကုဒ် အကောင်အထည်ဖော်မှု သို့မဟုတ် ဆာဗာဘက်ရှိ အသုံးပြုသူ ထိန်းချုပ်သည့် နည်းလမ်းများ)။ တိုက်ခိုက်သူတွင် အဖွဲ့အစည်းပိုင်ရှင်အခွင့်အရေးများနှင့် အကောင့်တစ်ခုရှိလျှင် ဒေသတွင်း GHES တပ်ဆင်မှုများကို တိုက်ခိုက်နိုင်သည်။
source: opennet.ru