உற்பத்தி உள்கட்டமைப்பில் பயன்படுத்தப்படும் கொள்கலன்களில் வெளிப்படும் சூழல் மாறிகளின் உள்ளடக்கங்களை அணுக அனுமதிக்கும் பாதிப்பை GitHub வெளிப்படுத்தியுள்ளது. பாதுகாப்புச் சிக்கல்களைக் கண்டறிவதற்கான வெகுமதியைக் கோரும் Bug Bounty பங்கேற்பாளரால் பாதிப்பு கண்டறியப்பட்டது. GitHub.com சேவை மற்றும் பயனர் கணினிகளில் இயங்கும் GitHub Enterprise Server (GHES) உள்ளமைவுகள் இரண்டையும் இந்தச் சிக்கல் பாதிக்கிறது.
பதிவுகளின் பகுப்பாய்வு மற்றும் உள்கட்டமைப்பின் தணிக்கை ஆகியவை சிக்கலைப் புகாரளித்த ஆய்வாளரின் செயல்பாடுகளைத் தவிர, கடந்த காலங்களில் பாதிப்பைப் பயன்படுத்தியதற்கான எந்த தடயத்தையும் வெளிப்படுத்தவில்லை. எவ்வாறாயினும், அனைத்து குறியாக்க விசைகள் மற்றும் நற்சான்றிதழ்களை மாற்றுவதற்கு உள்கட்டமைப்பு தொடங்கப்பட்டது, அவை பாதிப்பை தாக்குபவர்களால் பயன்படுத்தப்பட்டால் சமரசம் செய்யப்படலாம். டிசம்பர் 27 முதல் 29 வரை உள்ளக விசைகளை மாற்றியதால் சில சேவைகளில் இடையூறு ஏற்பட்டது. GitHub நிர்வாகிகள் நேற்று செய்த வாடிக்கையாளர்களைப் பாதிக்கும் விசைகளைப் புதுப்பிக்கும்போது ஏற்பட்ட தவறுகளை கணக்கில் எடுத்துக்கொள்ள முயன்றனர்.
மற்றவற்றுடன், தளத்திலோ அல்லது கோட்ஸ்பேஸ் டூல்கிட் மூலமாகவோ இழுக்கும் கோரிக்கைகளை ஏற்கும் போது GitHub வெப் எடிட்டர் மூலம் உருவாக்கப்பட்ட கமிட்களை டிஜிட்டல் முறையில் கையொப்பமிடப் பயன்படுத்தப்படும் GPG விசை புதுப்பிக்கப்பட்டது. பழைய சாவி ஜனவரி 16 அன்று மாஸ்கோ நேரப்படி 23:23 மணிக்கு செல்லுபடியாகாது, அதற்கு பதிலாக நேற்று முதல் புதிய விசை பயன்படுத்தப்பட்டது. ஜனவரி XNUMX முதல், முந்தைய விசையுடன் கையொப்பமிடப்பட்ட அனைத்து புதிய கமிட்களும் GitHub இல் சரிபார்க்கப்பட்டதாகக் குறிக்கப்படாது.
GitHub செயல்கள், GitHub Codespaces மற்றும் Dependabot ஆகியவற்றிற்கு API வழியாக அனுப்பப்படும் பயனர் தரவை குறியாக்கப் பயன்படுத்தப்படும் பொது விசைகளும் ஜனவரி 16 அன்று புதுப்பிக்கப்பட்டது. GitHub க்கு சொந்தமான பொது விசைகளைப் பயன்படுத்தி உள்நாட்டில் உள்ள கமிட்களைச் சரிபார்த்து, டிரான்ஸிட்டில் தரவை குறியாக்கம் செய்யும் பயனர்கள் தங்கள் GitHub GPG விசைகளைப் புதுப்பித்துள்ளதை உறுதிசெய்ய அறிவுறுத்தப்படுகிறார்கள்.
GitHub ஏற்கனவே GitHub.com இல் உள்ள பாதிப்பைச் சரிசெய்து, GHES 3.8.13, 3.9.8, 3.10.5 மற்றும் 3.11.3க்கான தயாரிப்புப் புதுப்பிப்பை வெளியிட்டுள்ளது, இதில் CVE-2024-0200க்கான தீர்வையும் உள்ளடக்கியது (பிரதிபலிப்புகளின் பாதுகாப்பற்ற பயன்பாடு குறியீடு செயல்படுத்தல் அல்லது சர்வர் பக்கத்தில் பயனர் கட்டுப்படுத்தும் முறைகள்). நிறுவன உரிமையாளர் உரிமைகளுடன் தாக்குபவர் கணக்கு வைத்திருந்தால், உள்ளூர் GHES நிறுவல்கள் மீது தாக்குதல் நடத்தப்படலாம்.
ஆதாரம்: opennet.ru