GitHub ujawnił lukę umożliwiającą dostęp do zawartości zmiennych środowiskowych eksponowanych w kontenerach wykorzystywanych w infrastrukturze produkcyjnej. Lukę odkrył uczestnik Bug Bounty chcący otrzymać nagrodę za znalezienie problemów związanych z bezpieczeństwem. Problem dotyczy zarówno usługi GitHub.com, jak i konfiguracji GitHub Enterprise Server (GHES) działających w systemach użytkowników.
Analiza logów i audyt infrastruktury nie wykazały żadnych śladów wykorzystania luki w przeszłości, poza aktywnością badacza, który zgłosił problem. Jednakże zainicjowano infrastrukturę w celu wymiany wszystkich kluczy szyfrowania i danych uwierzytelniających, które mogłyby zostać potencjalnie naruszone w przypadku wykorzystania luki przez osobę atakującą. Wymiana kluczy wewnętrznych doprowadziła do zakłóceń w działaniu niektórych usług w dniach 27-29 grudnia. Administratorzy GitHuba starali się uwzględnić błędy popełnione podczas wczorajszej aktualizacji kluczy wpływających na klientów.
Między innymi zaktualizowano klucz GPG używany do cyfrowego podpisywania zatwierdzeń utworzonych za pomocą edytora internetowego GitHub podczas akceptowania żądań ściągnięcia w witrynie lub za pośrednictwem zestawu narzędzi Codespace. Stary klucz przestał być ważny 16 stycznia o godzinie 23:23 czasu moskiewskiego i od wczoraj używany jest nowy. Od XNUMX stycznia wszystkie nowe zatwierdzenia podpisane poprzednim kluczem nie będą oznaczane jako zweryfikowane w GitHub.
16 stycznia zaktualizowano także klucze publiczne używane do szyfrowania danych użytkownika wysyłanych za pośrednictwem interfejsu API do GitHub Actions, GitHub Codespaces i Depabot. Użytkownikom, którzy używają kluczy publicznych należących do GitHuba do lokalnego sprawdzania zatwierdzeń i szyfrowania danych podczas przesyłania, zaleca się upewnienie się, że zaktualizowali swoje klucze GPG GitHub, aby ich systemy nadal działały po zmianie kluczy.
GitHub naprawił już lukę w zabezpieczeniach GitHub.com i wydał aktualizację produktu dla GHES 3.8.13, 3.9.8, 3.10.5 i 3.11.3, która zawiera poprawkę dla CVE-2024-0200 (niebezpieczne wykorzystanie odbić prowadzących do wykonanie kodu lub metody kontrolowane przez użytkownika po stronie serwera). Atak na lokalne instalacje GHES mógłby zostać przeprowadzony, gdyby atakujący posiadał konto z uprawnieniami właściciela organizacji.
Źródło: opennet.ru