GitHub ได้เปิดเผยช่องโหว่ที่ช่วยให้สามารถเข้าถึงเนื้อหาของตัวแปรสภาพแวดล้อมที่เปิดเผยในคอนเทนเนอร์ที่ใช้ในโครงสร้างพื้นฐานการผลิต ช่องโหว่นี้ถูกค้นพบโดยผู้เข้าร่วม Bug Bounty ที่กำลังมองหารางวัลสำหรับการค้นหาปัญหาด้านความปลอดภัย ปัญหานี้ส่งผลต่อทั้งบริการ GitHub.com และการกำหนดค่า GitHub Enterprise Server (GHES) ที่ทำงานบนระบบผู้ใช้
การวิเคราะห์บันทึกและการตรวจสอบโครงสร้างพื้นฐานไม่ได้เปิดเผยร่องรอยการใช้ประโยชน์จากช่องโหว่ในอดีต ยกเว้นกิจกรรมของผู้วิจัยที่รายงานปัญหา อย่างไรก็ตาม โครงสร้างพื้นฐานได้เริ่มต้นขึ้นเพื่อแทนที่คีย์การเข้ารหัสและข้อมูลประจำตัวทั้งหมดที่อาจถูกบุกรุกหากผู้โจมตีใช้ช่องโหว่ การเปลี่ยนคีย์ภายในส่งผลให้บริการบางอย่างหยุดชะงักตั้งแต่วันที่ 27 ถึง 29 ธันวาคม ผู้ดูแลระบบ GitHub พยายามคำนึงถึงข้อผิดพลาดที่เกิดขึ้นระหว่างการอัปเดตคีย์ที่ส่งผลกระทบต่อไคลเอนต์ที่ทำเมื่อวานนี้
เหนือสิ่งอื่นใด คีย์ GPG ที่ใช้ในการลงนามแบบดิจิทัลคอมมิตที่สร้างผ่านโปรแกรมแก้ไขเว็บ GitHub เมื่อยอมรับคำขอดึงบนไซต์หรือผ่านชุดเครื่องมือ Codespace ได้รับการอัปเดต รหัสเก่าไม่สามารถใช้ได้ในวันที่ 16 มกราคม เวลา 23:23 น. ตามเวลามอสโก และรหัสใหม่ได้ถูกนำมาใช้แทนตั้งแต่เมื่อวาน ตั้งแต่วันที่ XNUMX มกราคม ข้อตกลงใหม่ทั้งหมดที่ลงนามด้วยคีย์ก่อนหน้าจะไม่ถูกทำเครื่องหมายว่าตรวจสอบแล้วบน GitHub
วันที่ 16 มกราคม ยังได้อัปเดตคีย์สาธารณะที่ใช้ในการเข้ารหัสข้อมูลผู้ใช้ที่ส่งผ่าน API ไปยัง GitHub Actions, GitHub Codespaces และ Dependabot ผู้ใช้ที่ใช้คีย์สาธารณะที่เป็นของ GitHub เพื่อตรวจสอบการคอมมิตในเครื่องและเข้ารหัสข้อมูลที่อยู่ระหว่างทางควรตรวจสอบให้แน่ใจว่าพวกเขาได้อัปเดตคีย์ GitHub GPG เพื่อให้ระบบของพวกเขายังคงทำงานต่อไปหลังจากมีการเปลี่ยนแปลงคีย์
GitHub ได้แก้ไขช่องโหว่บน GitHub.com แล้ว และเผยแพร่การอัปเดตผลิตภัณฑ์สำหรับ GHES 3.8.13, 3.9.8, 3.10.5 และ 3.11.3 ซึ่งรวมถึงการแก้ไขสำหรับ CVE-2024-0200 (การใช้การสะท้อนอย่างไม่ปลอดภัยที่นำไปสู่ การเรียกใช้โค้ดหรือวิธีการที่ผู้ใช้ควบคุมบนฝั่งเซิร์ฟเวอร์) การโจมตีการติดตั้ง GHES ในเครื่องอาจเกิดขึ้นได้หากผู้โจมตีมีบัญชีที่มีสิทธิ์เป็นเจ้าขององค์กร
ที่มา: opennet.ru