GitHub waxay daaha ka qaaday baylahda u ogolaanaysa in la galo waxa ku jira doorsoomayaasha deegaanka ee lagu soo bandhigay weelasha loo isticmaalo kaabayaasha wax soo saarka. Nuglaanta waxaa ogaaday ka qaybqaataha Bug Bounty oo raadinaya abaal-marin helista arrimaha amniga. Arrintu waxay saamaysaa labadaba adeegga GitHub.com iyo isku xidhka GitHub Enterprise Server (GHES) ee ku shaqeeya nidaamka adeegsadaha.
Falanqaynta diiwaannada iyo hanti-dhawrka kaabayaasha ayaan daaha ka qaadin wax raad ah oo ka faa'iidaysiga dayacanka ah ee la soo dhaafay marka laga reebo waxqabadka cilmi-baadhaha oo soo sheegay dhibaatada. Si kastaba ha ahaatee, kaabayaasha ayaa la bilaabay in lagu beddelo dhammaan furayaasha sirta ah iyo aqoonsiga laga yaabo in la waxyeeleeyo haddii nuglaanta uu ka faa'iidaysto weeraryahan. Beddelka furayaasha gudaha ayaa horseeday hakad ku yimi adeegyada qaar laga bilaabo Diisambar 27 ilaa 29. Maamulayaasha GitHub waxay isku dayeen inay ku xisaabtamaan khaladaadka la sameeyay intii lagu jiray cusboonaysiinta furayaasha saameeya macaamiisha la sameeyay shalay.
Waxaa ka mid ah, furaha GPG ee loo isticmaalo in si dhijitaal ah loogu saxiixo ballan-qaadyada lagu sameeyay tifaftiraha shabakadda GitHub marka la aqbalo codsiyada jiidashada ee goobta ama iyada oo loo marayo qalabka Codespace waa la cusboonaysiiyay. Furihii hore wuxuu joogsaday inuu shaqeeyo Janaayo 16, 23:23 wakhtiga Moscow, furaha cusub ayaa la isticmaalay tan iyo shalay. Laga bilaabo Janaayo XNUMX, dhammaan ballan-qaadyada cusub ee lagu saxeexay furihii hore looma calaamadayn doono sidii lagu xaqiijiyay GitHub.
Janaayo 16 ayaa sidoo kale cusboonaysiiyay furayaasha dadweynaha ee loo isticmaalay in lagu sireeyo xogta isticmaalaha API ee loo diro GitHub Actions, GitHub Codespaces, iyo Dependabot. Isticmaalayaasha isticmaala furayaasha dadweynaha ee ay leedahay GitHub si ay u hubiyaan go'aamada maxaliga ah iyo sir xogta ku jirta gaadiidka waxaa lagula talinayaa inay xaqiijiyaan inay cusboonaysiiyeen furahooda GitHub GPG si nidaamkoodu u sii shaqeeyo ka dib furayaasha la beddelo.
GitHub waxay mar hore hagaajisay nuglaanta GitHub.com waxayna sii daysay cusboonaysiinta badeecada GHES 3.8.13, 3.9.8, 3.10.5 iyo 3.11.3, oo ay kujirto hagaajinta CVE-2024-0200 (isticmaalka aan badbaadada lahayn ee milicsiga u horseedaya fulinta code ama hababka ay maamulaan isticmaaluhu ee dhinaca serverka). Weerar lagu qaado xarumaha GHES ee maxaliga ah waa la fulin karaa haddii qofka weerarka geystay uu leeyahay akoon leh xuquuqda lahaanshaha ururka.
Source: opennet.ru