GitHub heeft een kwetsbaarheid onthuld die toegang geeft tot de inhoud van omgevingsvariabelen die zichtbaar zijn in containers die worden gebruikt in de productie-infrastructuur. De kwetsbaarheid werd ontdekt door een Bug Bounty-deelnemer die een beloning wilde voor het vinden van beveiligingsproblemen. Het probleem is van invloed op zowel de GitHub.com-service als GitHub Enterprise Server (GHES)-configuraties die op gebruikerssystemen worden uitgevoerd.
Analyse van de logboeken en audit van de infrastructuur brachten geen enkel spoor van misbruik van de kwetsbaarheid in het verleden aan het licht, behalve de activiteit van de onderzoeker die het probleem rapporteerde. De infrastructuur is echter opgezet om alle coderingssleutels en inloggegevens te vervangen die mogelijk in gevaar zouden kunnen komen als het beveiligingslek door een aanvaller zou worden misbruikt. De vervanging van interne sleutels leidde van 27 tot 29 december tot verstoring van sommige diensten. GitHub-beheerders probeerden rekening te houden met de fouten die zijn gemaakt tijdens de update van sleutels die gisteren zijn gemaakt voor clients.
De GPG-sleutel die wordt gebruikt voor het digitaal ondertekenen van commits die via de GitHub-webeditor zijn gemaakt bij het accepteren van pull-verzoeken op de site of via de Codespace-toolkit, is onder andere bijgewerkt. De oude sleutel was op 16 januari om 23 uur Moskouse tijd niet meer geldig en sinds gisteren wordt in plaats daarvan een nieuwe sleutel gebruikt. Vanaf 23 januari worden alle nieuwe commits die met de vorige sleutel zijn ondertekend, niet als geverifieerd gemarkeerd op GitHub.
Op 16 januari zijn ook de openbare sleutels bijgewerkt die worden gebruikt om gebruikersgegevens te versleutelen die via de API naar GitHub Actions, GitHub Codespaces en Dependabot worden verzonden. Gebruikers die openbare sleutels van GitHub gebruiken om commits lokaal te controleren en gegevens tijdens de overdracht te versleutelen, worden geadviseerd ervoor te zorgen dat ze hun GitHub GPG-sleutels hebben bijgewerkt, zodat hun systemen blijven functioneren nadat de sleutels zijn gewijzigd.
GitHub heeft de kwetsbaarheid op GitHub.com al verholpen en een productupdate uitgebracht voor GHES 3.8.13, 3.9.8, 3.10.5 en 3.11.3, die een oplossing bevat voor CVE-2024-0200 (onveilig gebruik van reflecties die leiden tot code-uitvoering of door de gebruiker gecontroleerde methoden aan de serverzijde). Een aanval op lokale GHES-installaties zou kunnen worden uitgevoerd als de aanvaller een account had met organisatie-eigenaarrechten.
Bron: opennet.ru