GitHub осебпазириро ошкор кард, ки имкон медиҳад дастрасӣ ба мундариҷаи тағирёбандаҳои муҳити зистро, ки дар контейнерҳои дар инфрасохтори истеҳсолӣ истифода мешаванд, ошкор кунад. Ин осебпазириро як иштирокчии Bug Bounty кашф кард, ки дар ҷустуҷӯи мукофот барои дарёфти масъалаҳои амниятӣ буд. Ин масъала ҳам ба хидмати GitHub.com ва ҳам конфигуратсияҳои GitHub Enterprise Server (GHES), ки дар системаҳои корбар кор мекунанд, таъсир мерасонад.
Таҳлили гузоришҳо ва аудити инфрасохтор, ба истиснои фаъолияти муҳаққиқ, ки дар бораи мушкилот гузориш додааст, ягон осори истифодаи осебпазириро ошкор накардааст. Бо вуҷуди ин, инфрасохтор барои иваз кардани ҳама калидҳои рамзгузорӣ ва маълумоти эътимоднома оғоз карда шуд, ки дар сурати истифода аз осебпазирӣ аз ҷониби ҳамлагар эҳтимолан осеб дидан мумкин аст. Иваз кардани калидҳои дохилӣ боиси қатъ шудани баъзе хидматҳо аз 27 то 29 декабр гардид. Маъмурони GitHub кӯшиш карданд, ки хатогиҳоеро, ки ҳангоми навсозии калидҳое, ки дирӯз ба мизоҷон таъсир мерасонанд, ба назар гиранд.
Дар байни чизҳои дигар, калиди GPG барои ба таври рақамӣ имзо кардани ӯҳдадориҳое, ки тавассути муҳаррири веби GitHub ҳангоми қабули дархостҳои ҷалб дар сайт ё асбоби Codespace сохта шудааст, нав карда шуд. Калиди кӯҳна 16 январ аз соати 23:23 ба вақти Маскав аз кор монд ва аз дирӯз ба ҷои он калиди нав истифода мешавад. Аз XNUMX январ сар карда, ҳама ӯҳдадориҳои наве, ки бо калиди қаблӣ имзо шудаанд, ҳамчун тасдиқшуда дар GitHub қайд карда намешаванд.
16 январ инчунин калидҳои оммавиеро, ки барои рамзгузории маълумоти корбар тавассути API ба GitHub Actions, GitHub Codespaces ва Dependabot фиристода шудаанд, навсозӣ карданд. Ба корбароне, ки калидҳои ҷамъиятии ба GitHub тааллуқдоштаро барои тафтиши ӯҳдадориҳои маҳаллӣ ва рамзгузории маълумот ҳангоми интиқол истифода мебаранд, тавсия дода мешавад, ки онҳо калидҳои GitHub GPG-и худро навсозӣ кунанд, то системаҳои онҳо пас аз тағир додани калидҳо кор кунанд.
GitHub аллакай осебпазириро дар GitHub.com ислоҳ кардааст ва навсозии маҳсулотро барои GHES 3.8.13, 3.9.8, 3.10.5 ва 3.11.3 нашр кардааст, ки ислоҳи CVE-2024-0200 (истифодаи хатарноки инъикосро дар бар мегирад) иҷрои код ё усулҳои аз ҷониби корбар назоратшаванда дар тарафи сервер). Ҳамла ба дастгоҳҳои маҳаллии GHES метавонист анҷом дода шавад, агар ҳамлакунанда дорои ҳисоби соҳиби ҳуқуқи созмон бошад.
Манбаъ: opennet.ru