GitHub ka zbuluar një cenueshmëri që lejon aksesin në përmbajtjen e variablave të mjedisit të ekspozuar në kontejnerët e përdorur në infrastrukturën e prodhimit. Dobësia u zbulua nga një pjesëmarrës i Bug Bounty që kërkonte një shpërblim për gjetjen e çështjeve të sigurisë. Problemi prek si shërbimin GitHub.com ashtu edhe konfigurimin e Serverit të Ndërmarrjeve GitHub (GHES) që funksionojnë në sistemet e përdoruesve.
Analiza e regjistrave dhe auditimi i infrastrukturës nuk zbuloi asnjë gjurmë të shfrytëzimit të cenueshmërisë në të kaluarën, përveç aktivitetit të studiuesit që raportoi problemin. Sidoqoftë, infrastruktura u nis për të zëvendësuar të gjithë çelësat e enkriptimit dhe kredencialet që mund të rrezikoheshin nëse cenueshmëria do të shfrytëzohej nga një sulmues. Zëvendësimi i çelësave të brendshëm çoi në ndërprerje të disa shërbimeve nga 27 deri më 29 dhjetor. Administratorët e GitHub u përpoqën të merrnin parasysh gabimet e bëra gjatë përditësimit të çelësave që preknin klientët e bëra dje.
Ndër të tjera, është përditësuar çelësi GPG i përdorur për të nënshkruar në mënyrë dixhitale detyrimet e krijuara përmes redaktuesit të uebit GitHub kur pranohen kërkesa për tërheqje në sajt ose përmes paketës së veglave Codespace. Çelësi i vjetër pushoi së vlefshmi më 16 janar në orën 23:23 me orën e Moskës, dhe në vend të tij është përdorur një çelës i ri që nga dje. Duke filluar nga XNUMX janari, të gjitha angazhimet e reja të nënshkruara me çelësin e mëparshëm nuk do të shënohen si të verifikuara në GitHub.
16 janari përditësoi gjithashtu çelësat publikë të përdorur për të kriptuar të dhënat e përdoruesve të dërguara përmes API-së në GitHub Actions, GitHub Codespaces dhe Dependabot. Përdoruesit që përdorin çelësat publikë në pronësi të GitHub për të kontrolluar kryerjet në nivel lokal dhe për të enkriptuar të dhënat në tranzit, këshillohen të sigurojnë që ata të kenë përditësuar çelësat e tyre GitHub GPG në mënyrë që sistemet e tyre të vazhdojnë të funksionojnë pas ndryshimit të çelësave.
GitHub ka rregulluar tashmë cenueshmërinë në GitHub.com dhe ka lëshuar një përditësim produkti për GHES 3.8.13, 3.9.8, 3.10.5 dhe 3.11.3, i cili përfshin një rregullim për CVE-2024-0200 (përdorim i pasigurt i reflektimeve që çon në ekzekutimi i kodit ose metodat e kontrolluara nga përdoruesi në anën e serverit). Një sulm ndaj instalimeve lokale GHES mund të kryhej nëse sulmuesi kishte një llogari me të drejtat e pronarit të organizatës.
Burimi: opennet.ru