GitHub har avslørt en sårbarhet som gir tilgang til innholdet i miljøvariabler eksponert i containere som brukes i produksjonsinfrastruktur. Sårbarheten ble oppdaget av en Bug Bounty-deltaker som søkte en belønning for å finne sikkerhetsproblemer. Problemet påvirker både GitHub.com-tjenesten og GitHub Enterprise Server (GHES) konfigurasjoner som kjører på brukersystemer.
Analyse av loggene og revisjon av infrastrukturen avslørte ingen spor etter utnyttelse av sårbarheten i fortiden bortsett fra aktiviteten til forskeren som rapporterte problemet. Infrastrukturen ble imidlertid startet for å erstatte alle krypteringsnøkler og legitimasjon som potensielt kan bli kompromittert hvis sårbarheten ble utnyttet av en angriper. Utskifting av interne nøkler førte til avbrudd i enkelte tjenester fra 27. til 29. desember. GitHub-administratorer prøvde å ta hensyn til feilene som ble gjort under oppdateringen av nøkler som påvirker klienter som ble gjort i går.
Blant annet har GPG-nøkkelen som brukes til å signere forpliktelser som er opprettet gjennom GitHub-nettredigereren når de aksepterer pull-forespørsler på nettstedet eller gjennom Codespace-verktøysettet, blitt oppdatert. Den gamle nøkkelen opphørte å være gyldig 16. januar klokken 23:23 Moskva-tid, og en ny nøkkel har blitt brukt i stedet siden i går. Fra og med XNUMX. januar vil ikke alle nye forpliktelser signert med den forrige nøkkelen bli merket som bekreftet på GitHub.
16. januar oppdaterte også de offentlige nøklene som ble brukt til å kryptere brukerdata sendt via API til GitHub Actions, GitHub Codespaces og Dependabot. Brukere som bruker offentlige nøkler eid av GitHub for å sjekke forpliktelser lokalt og kryptere data under overføring, anbefales å sørge for at de har oppdatert GitHub GPG-nøklene slik at systemene deres fortsetter å fungere etter at nøklene er endret.
GitHub har allerede fikset sårbarheten på GitHub.com og gitt ut en produktoppdatering for GHES 3.8.13, 3.9.8, 3.10.5 og 3.11.3, som inkluderer en rettelse for CVE-2024-0200 (utrygg bruk av refleksjoner som fører til kodeutførelse eller brukerkontrollerte metoder på serversiden). Et angrep på lokale GHES-installasjoner kan utføres dersom angriperen hadde en konto med organisasjonseierrettigheter.
Kilde: opennet.ru