O GitHub divulgou uma vulnerabilidade que permite acesso ao conteúdo de variáveis de ambiente expostas em containers utilizados na infraestrutura de produção. A vulnerabilidade foi descoberta por um participante do Bug Bounty que buscava uma recompensa por encontrar problemas de segurança. O problema afeta o serviço GitHub.com e as configurações do GitHub Enterprise Server (GHES) em execução nos sistemas dos usuários.
A análise dos registos e a auditoria da infraestrutura não revelaram quaisquer vestígios de exploração da vulnerabilidade no passado, exceto a atividade do investigador que relatou o problema. No entanto, a infraestrutura foi iniciada para substituir todas as chaves e credenciais de criptografia que poderiam ser potencialmente comprometidas se a vulnerabilidade fosse explorada por um invasor. A substituição das chaves internas levou à interrupção de alguns serviços entre os dias 27 e 29 de dezembro. Os administradores do GitHub tentaram levar em consideração os erros cometidos durante a atualização das chaves que afetaram os clientes feita ontem.
Entre outras coisas, a chave GPG usada para assinar digitalmente commits criados por meio do editor web GitHub ao aceitar solicitações pull no site ou por meio do kit de ferramentas Codespace foi atualizada. A chave antiga deixou de ser válida em 16 de janeiro às 23h, horário de Moscou, e uma nova chave foi usada desde ontem. A partir de 23 de janeiro, todos os novos commits assinados com a chave anterior não serão marcados como verificados no GitHub.
16 de janeiro também atualizou as chaves públicas usadas para criptografar os dados do usuário enviados por meio da API para GitHub Actions, GitHub Codespaces e Dependabot. Os usuários que usam chaves públicas de propriedade do GitHub para verificar commits localmente e criptografar dados em trânsito são aconselhados a garantir que atualizaram suas chaves GPG do GitHub para que seus sistemas continuem a funcionar após a alteração das chaves.
O GitHub já corrigiu a vulnerabilidade no GitHub.com e lançou uma atualização de produto para GHES 3.8.13, 3.9.8, 3.10.5 e 3.11.3, que inclui uma correção para CVE-2024-0200 (uso inseguro de reflexões que leva a execução de código ou métodos controlados pelo usuário no lado do servidor). Um ataque às instalações locais do GHES poderia ser realizado se o invasor tivesse uma conta com direitos de proprietário da organização.
Fonte: opennet.ru