ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > පාරිසරික විචල්‍ය කාන්දු වීමේ අවදානමක් හේතුවෙන් GitHub විසින් GPG යතුරු යාවත්කාලීන කර ඇත

පාරිසරික විචල්‍ය කාන්දු වීමේ අවදානමක් හේතුවෙන් GitHub විසින් GPG යතුරු යාවත්කාලීන කර ඇත

නිෂ්පාදන යටිතල ව්‍යුහයේ භාවිතා කරන බහාලුම්වල නිරාවරණය වන පාරිසරික විචල්‍යවල අන්තර්ගතයට ප්‍රවේශ වීමට ඉඩ සලසන අවදානමක් GitHub අනාවරණය කර ඇත. ආරක්ෂක ගැටළු සොයා ගැනීම සඳහා ත්‍යාගයක් අපේක්ෂා කරන බග් බූන්ටි සහභාගිවන්නෙකු විසින් මෙම අවදානම සොයා ගන්නා ලදී. මෙම ගැටළුව GitHub.com සේවාව සහ පරිශීලක පද්ධති මත ධාවනය වන GitHub Enterprise Server (GHES) වින්‍යාසයන් දෙකටම බලපායි.

ලඝු-සටහන් විශ්ලේෂණය සහ යටිතල ව්‍යුහය පිළිබඳ විගණනය මගින් ගැටලුව වාර්තා කළ පර්යේෂකයාගේ ක්‍රියාකාරකම හැර අතීතයේ අවදානම සූරාකෑමේ කිසිදු හෝඩුවාවක් අනාවරණය නොවීය. කෙසේ වෙතත්, යටිතල පහසුකම් ප්‍රහාරකයෙකු විසින් අවදානම් ප්‍රයෝජනයට ගත්තේ නම් අවදානමට ලක්විය හැකි සියලුම සංකේතාංකන යතුරු සහ අක්තපත්‍ර ප්‍රතිස්ථාපනය කිරීමට ආරම්භ කරන ලදී. අභ්‍යන්තර යතුරු ආදේශ කිරීම දෙසැම්බර් 27 සිට 29 දක්වා සමහර සේවාවන්ට බාධා කිරීමට හේතු විය. GitHub පරිපාලකයින් ඊයේ සිදු කරන ලද සේවාදායකයින්ට බලපාන යතුරු යාවත්කාලීන කිරීමේදී සිදු වූ වැරදි සැලකිල්ලට ගැනීමට උත්සාහ කළහ.

වෙනත් දේ අතර, වෙබ් අඩවියේ ඇදීමේ ඉල්ලීම් පිළිගැනීමේදී හෝ Codespace මෙවලම් කට්ටලය හරහා GitHub වෙබ් සංස්කාරකය හරහා සාදන ලද කැපවීම් ඩිජිටල් ලෙස අත්සන් කිරීමට භාවිතා කරන GPG යතුර යාවත්කාලීන කර ඇත. පැරණි යතුර ජනවාරි 16 වන දින මොස්කව් වේලාවෙන් 23:23 ට වලංගු වීම නතර වූ අතර ඊයේ සිට ඒ වෙනුවට නව යතුරක් භාවිතා කර ඇත. ජනවාරි XNUMX සිට, පෙර යතුර සමඟ අත්සන් කරන ලද සියලුම නව කැපවීම් GitHub මත සත්‍යාපනය කළ ලෙස සලකුණු නොකෙරේ.

GitHub ක්‍රියා, GitHub Codespaces, සහ Dependabot වෙත API හරහා යවන ලද පරිශීලක දත්ත සංකේතනය කිරීමට භාවිත කරන පොදු යතුරු ද ජනවාරි 16 යාවත්කාලීන කරන ලදී. GitHub සතු පොදු යතුරු භාවිතා කරන පරිශීලකයින්ට දේශීයව කැපවීම් පරීක්ෂා කිරීමට සහ සංක්‍රමණ දත්ත සංකේතනය කිරීමට ඔවුන් තම GitHub GPG යතුරු යාවත්කාලීන කර ඇති බව සහතික කර ගැනීමට උපදෙස් දෙනු ලැබේ, එවිට යතුරු වෙනස් කිරීමෙන් පසුව ඔවුන්ගේ පද්ධති දිගටම ක්‍රියාත්මක වේ.

GitHub දැනටමත් GitHub.com හි ඇති අවදානම නිරාකරණය කර ඇති අතර GHES 3.8.13, 3.9.8, 3.10.5 සහ 3.11.3 සඳහා නිෂ්පාදන යාවත්කාලීනයක් නිකුත් කර ඇත, එයට CVE-2024-0200 සඳහා විසඳුමක් ඇතුළත් වේ (ප්‍රතිබිම්බ අනාරක්ෂිත ලෙස භාවිතා කිරීමට තුඩු දෙයි. කේත ක්‍රියාත්මක කිරීම හෝ සේවාදායකයේ පැත්තේ පරිශීලක-පාලිත ක්‍රම). ප්‍රහාරකයාට සංවිධාන හිමිකරුගේ අයිතීන් සහිත ගිණුමක් තිබේ නම් දේශීය GHES ස්ථාපනයන්ට ප්‍රහාරයක් එල්ල කළ හැකිය.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න