GitHub odhalil zraniteľnosť, ktorá umožňuje prístup k obsahu premenných prostredia vystavených v kontajneroch používaných v produkčnej infraštruktúre. Zraniteľnosť objavil účastník Bug Bounty, ktorý hľadal odmenu za nájdenie bezpečnostných problémov. Problém sa týka služby GitHub.com aj konfigurácií GitHub Enterprise Server (GHES) spustených na používateľských systémoch.
Analýza protokolov a audit infraštruktúry neodhalili žiadne stopy po zneužívaní zraniteľnosti v minulosti, okrem aktivity výskumníka, ktorý problém nahlásil. Infraštruktúra však bola iniciovaná, aby nahradila všetky šifrovacie kľúče a poverenia, ktoré by mohli byť potenciálne ohrozené, ak by túto zraniteľnosť zneužil útočník. Výmena interných kľúčov viedla od 27. do 29. decembra k rušeniu niektorých služieb. Správcovia GitHubu sa snažili vziať do úvahy chyby, ktoré sa urobili počas včerajšej aktualizácie kľúčov ovplyvňujúcich klientov.
Okrem iného bol aktualizovaný kľúč GPG, ktorý sa používa na digitálne podpisovanie potvrdení vytvorených prostredníctvom webového editora GitHub pri prijímaní žiadostí o stiahnutie na stránke alebo prostredníctvom sady nástrojov Codespace. Starý kľúč prestal platiť 16. januára o 23:23 moskovského času a od včera sa namiesto neho používa kľúč nový. Od XNUMX. januára nebudú všetky nové potvrdenia podpísané predchádzajúcim kľúčom označené ako overené na GitHub.
16. januára tiež aktualizovali verejné kľúče používané na šifrovanie používateľských údajov odoslaných cez API do GitHub Actions, GitHub Codespaces a Dependabot. Používateľom, ktorí používajú verejné kľúče vo vlastníctve GitHub na lokálnu kontrolu odovzdania a šifrovanie údajov pri prenose, sa odporúča, aby sa uistili, že aktualizovali svoje GPG kľúče GitHub, aby ich systémy fungovali aj po zmene kľúčov.
GitHub už túto chybu zabezpečenia na GitHub.com opravil a vydal aktualizáciu produktu pre GHES 3.8.13, 3.9.8, 3.10.5 a 3.11.3, ktorá obsahuje opravu pre CVE-2024-0200 (nebezpečné používanie odrazov vedúcich k spúšťanie kódu alebo metódy ovládané používateľom na strane servera). Útok na miestne inštalácie GHES by mohol byť vykonaný, ak by útočník mal účet s právami vlastníka organizácie.
Zdroj: opennet.ru