ప్రోహోస్టర్ > బ్లాగ్ > ఇంటర్నెట్ వార్తలు > పర్యావరణ వేరియబుల్ లీక్ దుర్బలత్వం కారణంగా GitHub GPG కీలను నవీకరించింది

పర్యావరణ వేరియబుల్ లీక్ దుర్బలత్వం కారణంగా GitHub GPG కీలను నవీకరించింది

ఉత్పత్తి అవస్థాపనలో ఉపయోగించే కంటైనర్‌లలో బహిర్గతమయ్యే ఎన్విరాన్‌మెంట్ వేరియబుల్స్ యొక్క కంటెంట్‌లకు ప్రాప్యతను అనుమతించే దుర్బలత్వాన్ని GitHub బహిర్గతం చేసింది. భద్రతా సమస్యలను కనుగొన్నందుకు రివార్డ్‌ని కోరుతూ బగ్ బౌంటీ పార్టిసిపెంట్ ద్వారా ఈ దుర్బలత్వం కనుగొనబడింది. సమస్య GitHub.com సేవ మరియు వినియోగదారు సిస్టమ్‌లపై నడుస్తున్న GitHub ఎంటర్‌ప్రైజ్ సర్వర్ (GHES) కాన్ఫిగరేషన్‌లను ప్రభావితం చేస్తుంది.

లాగ్‌ల విశ్లేషణ మరియు ఇన్‌ఫ్రాస్ట్రక్చర్ యొక్క ఆడిట్, సమస్యను నివేదించిన పరిశోధకుడి కార్యాచరణ మినహా గతంలో దుర్బలత్వం యొక్క దోపిడీకి సంబంధించిన జాడలు ఏవీ వెల్లడించలేదు. ఏది ఏమైనప్పటికీ, దాడి చేసేవారు దుర్బలత్వాన్ని ఉపయోగించుకున్నట్లయితే సంభావ్యంగా రాజీపడే అన్ని ఎన్‌క్రిప్షన్ కీలు మరియు ఆధారాలను భర్తీ చేయడానికి ఇన్‌ఫ్రాస్ట్రక్చర్ ప్రారంభించబడింది. అంతర్గత కీల భర్తీ కారణంగా డిసెంబర్ 27 నుండి 29 వరకు కొన్ని సేవలకు అంతరాయం ఏర్పడింది. GitHub నిర్వాహకులు నిన్న చేసిన క్లయింట్‌లను ప్రభావితం చేసే కీల నవీకరణ సమయంలో చేసిన తప్పులను పరిగణనలోకి తీసుకోవడానికి ప్రయత్నించారు.

ఇతర విషయాలతోపాటు, సైట్‌లో లేదా కోడ్‌స్పేస్ టూల్‌కిట్ ద్వారా పుల్ అభ్యర్థనలను ఆమోదించేటప్పుడు GitHub వెబ్ ఎడిటర్ ద్వారా రూపొందించబడిన కమిట్‌లను డిజిటల్‌గా సైన్ చేయడానికి ఉపయోగించే GPG కీ నవీకరించబడింది. పాత కీ జనవరి 16న మాస్కో సమయానికి 23:23 గంటలకు చెల్లుబాటు కాకుండా పోయింది మరియు దానికి బదులుగా నిన్నటి నుండి కొత్త కీ ఉపయోగించబడింది. జనవరి XNUMX నుండి, మునుపటి కీతో సంతకం చేయబడిన అన్ని కొత్త కమిట్‌లు GitHubలో ధృవీకరించబడినట్లుగా గుర్తించబడవు.

GitHub చర్యలు, GitHub కోడ్‌స్పేస్‌లు మరియు డిపెండబోట్‌లకు API ద్వారా పంపబడిన వినియోగదారు డేటాను గుప్తీకరించడానికి ఉపయోగించే పబ్లిక్ కీలను జనవరి 16 కూడా నవీకరించింది. స్థానికంగా కమిట్‌లను తనిఖీ చేయడానికి మరియు ట్రాన్సిట్‌లో డేటాను ఎన్‌క్రిప్ట్ చేయడానికి GitHub యాజమాన్యంలోని పబ్లిక్ కీలను ఉపయోగించే వినియోగదారులు తమ GitHub GPG కీలను అప్‌డేట్ చేశారని నిర్ధారించుకోవడం మంచిది, తద్వారా కీలు మార్చబడిన తర్వాత వారి సిస్టమ్‌లు పని చేయడం కొనసాగుతుంది.

GitHub ఇప్పటికే GitHub.comలో హానిని పరిష్కరించింది మరియు GHES 3.8.13, 3.9.8, 3.10.5 మరియు 3.11.3 కోసం ఉత్పత్తి అప్‌డేట్‌ను విడుదల చేసింది, ఇందులో CVE-2024-0200 (రిఫ్లెక్షన్‌ల యొక్క అసురక్షిత ఉపయోగం దారితీసే) పరిష్కారాన్ని కలిగి ఉంటుంది. కోడ్ అమలు లేదా సర్వర్ వైపు వినియోగదారు-నియంత్రిత పద్ధతులు). దాడి చేసే వ్యక్తికి సంస్థ యజమాని హక్కులతో ఖాతా ఉంటే స్థానిక GHES ఇన్‌స్టాలేషన్‌లపై దాడి చేయవచ్చు.

మూలం: opennet.ru

ఒక వ్యాఖ్యను జోడించండి