GitHub parantos ngungkabkeun kerentanan anu ngamungkinkeun aksés kana eusi variabel lingkungan anu kakeunaan dina wadah anu dianggo dina infrastruktur produksi. Kerentanan ieu kapanggih ku pamilon Bug Bounty néangan ganjaran pikeun manggihan masalah kaamanan. Masalahna mangaruhan jasa GitHub.com sareng konfigurasi GitHub Enterprise Server (GHES) anu dijalankeun dina sistem pangguna.
Analisis log sareng audit infrastruktur henteu ngungkabkeun jejak eksploitasi kerentanan dina jaman baheula kecuali kagiatan panalungtik anu ngalaporkeun masalah. Nanging, infrastrukturna digagas pikeun ngagentos sadaya konci enkripsi sareng kredensial anu berpotensi tiasa dikompromi upami kerentanan dieksploitasi ku panyerang. Ngagantian konci internal nyababkeun gangguan sababaraha jasa ti 27 dugi ka 29 Désémber. Administrator GitHub nyobian ngémutan kasalahan anu dilakukeun nalika ngapdet konci anu mangaruhan klien anu dilakukeun kamari.
Diantara hal séjén, konci GPG dipaké pikeun asup digital commits dijieun ngaliwatan pangropéa web GitHub nalika narima requests tarikan dina loka atawa ngaliwatan toolkit Codespace geus diropéa. Konci heubeul ceased janten valid on January 16 di 23:23 waktos Moscow, sarta konci anyar geus dipaké gantina saprak kamari. Dimimitian XNUMX Januari, sadaya komitmen anyar anu ditandatanganan ku konci sateuacana moal ditandaan salaku diverifikasi dina GitHub.
16 Januari ogé ngamutahirkeun konci umum anu dianggo pikeun énkripsi data pangguna anu dikirim via API ka GitHub Actions, GitHub Codespaces, sareng Dependabot. Pamaké anu ngagunakeun konci umum milik GitHub pikeun pariksa commits lokal sarta encrypt data dina transit disarankan pikeun mastikeun yén maranéhna geus ngamutahirkeun konci GitHub GPG maranéhanana ambéh sistem maranéhanana terus fungsina sanggeus kenop dirobah.
GitHub parantos ngalereskeun kerentanan dina GitHub.com sareng ngaluarkeun pembaruan produk pikeun GHES 3.8.13, 3.9.8, 3.10.5 sareng 3.11.3, anu kalebet perbaikan pikeun CVE-2024-0200 (pamakéan pantulan anu teu aman ngarah kana palaksanaan kode atawa métode-dikawasa pamaké di sisi server). Serangan kana pamasangan GHES lokal tiasa dilaksanakeun upami panyerang gaduh akun sareng hak pamilik organisasi.
sumber: opennet.ru