GitHub je razkril ranljivost, ki omogoča dostop do vsebine spremenljivk okolja, izpostavljenih v vsebnikih, ki se uporabljajo v proizvodni infrastrukturi. Ranljivost je odkril udeleženec Bug Bountyja, ki je iskal nagrado za iskanje varnostnih težav. Težava vpliva tako na storitev GitHub.com kot na konfiguracije strežnika GitHub Enterprise Server (GHES), ki se izvajajo v uporabniških sistemih.
Analiza dnevnikov in revizija infrastrukture nista odkrili sledi izkoriščanja ranljivosti v preteklosti, razen aktivnosti raziskovalca, ki je poročal o težavi. Vendar je bila infrastruktura sprožena za zamenjavo vseh šifrirnih ključev in poverilnic, ki bi lahko bile ogrožene, če bi ranljivost izkoristil napadalec. Zamenjava internih ključev je povzročila motnje v delovanju nekaterih storitev od 27. do 29. decembra. Skrbniki GitHub so poskušali upoštevati napake, storjene med včerajšnjo posodobitvijo ključev, ki vplivajo na stranke.
Med drugim je bil posodobljen ključ GPG, ki se uporablja za digitalno podpisovanje zavez, ustvarjenih prek spletnega urejevalnika GitHub pri sprejemanju zahtev za vlečenje na spletnem mestu ali prek kompleta orodij Codespace. Stari ključ je prenehal veljati 16. januarja ob 23:23 po moskovskem času, namesto njega pa se od včeraj uporablja nov ključ. Od XNUMX. januarja vse nove objave, podpisane s prejšnjim ključem, na GitHubu ne bodo označene kot preverjene.
16. januar je prav tako posodobil javne ključe, ki se uporabljajo za šifriranje uporabniških podatkov, poslanih prek API-ja v GitHub Actions, GitHub Codespaces in Dependabot. Uporabnikom, ki uporabljajo javne ključe v lasti GitHub za lokalno preverjanje potrditev in šifriranje podatkov med prenosom, svetujemo, da zagotovijo, da so posodobili svoje ključe GitHub GPG, tako da njihovi sistemi še naprej delujejo, potem ko so ključi spremenjeni.
GitHub je že odpravil ranljivost na GitHub.com in izdal posodobitev izdelka za GHES 3.8.13, 3.9.8, 3.10.5 in 3.11.3, ki vključuje popravek za CVE-2024-0200 (nevarna uporaba refleksij, ki povzročajo izvajanje kode ali uporabniško nadzorovane metode na strani strežnika). Napad na lokalne instalacije GHES bi se lahko izvedel, če bi imel napadalec račun s pravicami lastnika organizacije.
Vir: opennet.ru