GitHub imefichua uwezekano wa kuathiriwa unaoruhusu ufikiaji wa maudhui ya vigeu vya mazingira vilivyofichuliwa katika vyombo vinavyotumika katika miundombinu ya uzalishaji. Athari hiyo iligunduliwa na mshiriki wa Bug Bounty akitafuta zawadi kwa kutafuta masuala ya usalama. Suala hili linaathiri usanidi wa huduma ya GitHub.com na GitHub Enterprise Server (GHES) inayoendeshwa kwenye mifumo ya watumiaji.
Uchambuzi wa kumbukumbu na ukaguzi wa miundombinu haukuonyesha athari zozote za unyonyaji hapo awali isipokuwa shughuli za mtafiti aliyeripoti tatizo. Hata hivyo, miundombinu ilianzishwa ili kuchukua nafasi ya funguo na vitambulisho vyote vya usimbaji fiche ambavyo vinaweza kuathiriwa ikiwa athari ingetumiwa na mvamizi. Kubadilishwa kwa funguo za ndani kulisababisha kukatizwa kwa baadhi ya huduma kuanzia tarehe 27 hadi 29 Desemba. Wasimamizi wa GitHub walijaribu kuzingatia makosa yaliyofanywa wakati wa kusasisha funguo zinazoathiri wateja zilizofanywa jana.
Miongoni mwa mambo mengine, ufunguo wa GPG unaotumiwa kutia saini mikataba ya kidijitali iliyoundwa kupitia kihariri cha wavuti cha GitHub wakati wa kukubali maombi ya kuvuta kwenye tovuti au kupitia zana ya zana za Codespace umesasishwa. Ufunguo wa zamani uliacha kuwa halali Januari 16 saa 23:23 wakati wa Moscow, na ufunguo mpya umetumika badala yake tangu jana. Kuanzia Januari XNUMX, ahadi zote mpya zilizotiwa saini na ufunguo uliopita hazitatiwa alama kuwa zimethibitishwa kwenye GitHub.
Januari 16 pia ilisasisha funguo za umma zinazotumiwa kusimba data ya mtumiaji iliyotumwa kupitia API hadi GitHub Actions, GitHub Codespaces, na Dependabot. Watumiaji wanaotumia funguo za umma zinazomilikiwa na GitHub kuangalia ahadi za ndani na kusimba data katika usafiri wa umma kwa njia fiche wanashauriwa kuhakikisha kwamba wamesasisha funguo zao za GitHub GPG ili mifumo yao iendelee kufanya kazi baada ya funguo kubadilishwa.
GitHub tayari imerekebisha uwezekano wa kuathirika kwenye GitHub.com na kutoa sasisho la bidhaa kwa GHES 3.8.13, 3.9.8, 3.10.5 na 3.11.3, ambayo inajumuisha kurekebisha CVE-2024-0200 (matumizi yasiyo salama ya kuakisi hadi utekelezaji wa nambari au njia zinazodhibitiwa na mtumiaji kwenye upande wa seva). Shambulio kwenye usakinishaji wa ndani wa GHES unaweza kutekelezwa ikiwa mshambuliaji alikuwa na akaunti yenye haki za mmiliki wa shirika.
Chanzo: opennet.ru