ГитХуб је открио рањивост која омогућава приступ садржају варијабли окружења изложених у контејнерима који се користе у производној инфраструктури. Рањивост је открио учесник Буг Боунти-а који је тражио награду за проналажење безбедносних проблема. Проблем утиче и на услугу ГитХуб.цом и на ГитХуб Ентерприсе Сервер (ГХЕС) конфигурације које раде на корисничким системима.
Анализа евиденције и ревизија инфраструктуре нису открили никакве трагове експлоатације рањивости у прошлости осим активности истраживача који је пријавио проблем. Међутим, инфраструктура је покренута да замени све кључеве за шифровање и акредитиве који би потенцијално могли да буду угрожени ако је рањивост искористио нападач. Замена интерних кључева довела је до прекида рада неких сервиса од 27. до 29. децембра. Администратори ГитХуб-а покушали су да узму у обзир грешке направљене током јучерашњег ажурирања кључева који су утицали на клијенте.
Између осталог, ажуриран је ГПГ кључ који се користи за дигитално потписивање урезивања креираних преко ГитХуб веб уређивача када се прихватају захтеви за повлачење на сајту или преко Цодеспаце алата. Стари кључ је престао да важи 16. јануара у 23 часа по московском времену, а од јуче се уместо њега користи нови кључ. Почевши од 23. јануара, сва нова урезивања потписана претходним кључем неће бити означена као верификована на ГитХуб-у.
16. јануар је такође ажурирао јавне кључеве који се користе за шифровање корисничких података послатих преко АПИ-ја на ГитХуб Ацтионс, ГитХуб Цодеспацес и Депендабот. Корисницима који користе јавне кључеве у власништву ГитХуб-а за локалну проверу урезивања и шифровање података у преносу се саветује да осигурају да су ажурирали своје ГитХуб ГПГ кључеве тако да њихови системи наставе да функционишу након промене кључева.
ГитХуб је већ поправио рањивост на ГитХуб.цом и објавио ажурирање производа за ГХЕС 3.8.13, 3.9.8, 3.10.5 и 3.11.3, које укључује исправку за ЦВЕ-2024-0200 (небезбедно коришћење рефлексија које доводи до извршавање кода или методе које контролише корисник на страни сервера). Напад на локалне ГХЕС инсталације могао би се извршити ако је нападач имао налог са власничким правима организације.
Извор: опеннет.ру