GitHub a dezvăluit o vulnerabilitate care permite accesul la conținutul variabilelor de mediu expuse în containerele utilizate în infrastructura de producție. Vulnerabilitatea a fost descoperită de un participant la Bug Bounty care căuta o recompensă pentru găsirea unor probleme de securitate. Problema afectează atât serviciul GitHub.com, cât și configurațiile GitHub Enterprise Server (GHES) care rulează pe sistemele utilizatorilor.
Analiza jurnalelor și auditul infrastructurii nu au scos în evidență nicio urmă de exploatare a vulnerabilității în trecut, cu excepția activității cercetătorului care a raportat problema. Cu toate acestea, infrastructura a fost inițiată pentru a înlocui toate cheile de criptare și acreditările care ar putea fi compromise dacă vulnerabilitatea ar fi exploatată de un atacator. Înlocuirea cheilor interne a dus la întreruperea unor servicii în perioada 27-29 decembrie. Administratorii GitHub au încercat să țină cont de greșelile făcute în timpul actualizării cheilor care afectează clienții făcute ieri.
Printre altele, a fost actualizată cheia GPG folosită pentru a semna digital commit-urile create prin editorul web GitHub atunci când se acceptă solicitări de extragere pe site sau prin setul de instrumente Codespace. Vechea cheie a încetat să mai fie valabilă pe 16 ianuarie la ora 23:23, ora Moscovei, iar de ieri a fost folosită o nouă cheie. Începând cu XNUMX ianuarie, toate comenzile noi semnate cu cheia anterioară nu vor fi marcate ca verificate pe GitHub.
16 ianuarie a actualizat, de asemenea, cheile publice utilizate pentru a cripta datele utilizatorului trimise prin API către GitHub Actions, GitHub Codespaces și Dependabot. Utilizatorii care folosesc cheile publice deținute de GitHub pentru a verifica comiterile la nivel local și pentru a cripta datele în tranzit sunt sfătuiți să se asigure că și-au actualizat cheile GPG GitHub, astfel încât sistemele lor să continue să funcționeze după ce cheile sunt schimbate.
GitHub a remediat deja vulnerabilitatea de pe GitHub.com și a lansat o actualizare de produs pentru GHES 3.8.13, 3.9.8, 3.10.5 și 3.11.3, care include o remediere pentru CVE-2024-0200 (utilizarea nesigură a reflexiilor care duce la execuția codului sau metodele controlate de utilizator pe partea serverului). Un atac asupra instalațiilor locale GHES ar putea fi efectuat dacă atacatorul avea un cont cu drepturi de proprietar al organizației.
Sursa: opennet.ru