GitHub har avslöjat en sårbarhet som tillåter åtkomst till innehållet i miljövariabler exponerade i behållare som används i produktionsinfrastruktur. Sårbarheten upptäcktes av en Bug Bounty-deltagare som sökte en belöning för att ha hittat säkerhetsproblem. Problemet påverkar både GitHub.com-tjänsten och GitHub Enterprise Server (GHES)-konfigurationer som körs på användarsystem.
Analys av loggarna och granskning av infrastrukturen avslöjade inga spår av utnyttjande av sårbarheten i det förflutna förutom aktiviteten hos forskaren som rapporterade problemet. Infrastrukturen initierades dock för att ersätta alla krypteringsnycklar och autentiseringsuppgifter som potentiellt skulle kunna äventyras om sårbarheten utnyttjades av en angripare. Bytet av interna nycklar ledde till avbrott i vissa tjänster från 27 till 29 december. GitHub-administratörer försökte ta hänsyn till de misstag som gjordes under uppdateringen av nycklar som påverkade klienter som gjordes i går.
Bland annat har GPG-nyckeln som används för att digitalt signera commits som skapats via GitHub webbredigerare när man accepterar pull-förfrågningar på webbplatsen eller genom Codespace-verktygslådan uppdaterats. Den gamla nyckeln upphörde att gälla den 16 januari klockan 23:23 Moskva-tid, och en ny nyckel har istället använts sedan igår. Från och med den XNUMX januari kommer alla nya åtaganden undertecknade med den tidigare nyckeln inte att markeras som verifierade på GitHub.
16 januari uppdaterade också de publika nycklarna som används för att kryptera användardata som skickats via API:et till GitHub Actions, GitHub Codespaces och Dependabot. Användare som använder offentliga nycklar som ägs av GitHub för att kontrollera commits lokalt och kryptera data under överföring rekommenderas att se till att de har uppdaterat sina GitHub GPG-nycklar så att deras system fortsätter att fungera efter att nycklarna har ändrats.
GitHub har redan åtgärdat sårbarheten på GitHub.com och släppt en produktuppdatering för GHES 3.8.13, 3.9.8, 3.10.5 och 3.11.3, som inkluderar en fix för CVE-2024-0200 (osäker användning av reflektioner som leder till kodexekvering eller användarkontrollerade metoder på serversidan). En attack mot lokala GHES-installationer skulle kunna utföras om angriparen hade ett konto med organisationsägarrättigheter.
Källa: opennet.ru