Ang GitHub ay nagsiwalat ng isang kahinaan na nagbibigay-daan sa pag-access sa mga nilalaman ng mga variable ng kapaligiran na nakalantad sa mga lalagyan na ginagamit sa imprastraktura ng produksyon. Ang kahinaan ay natuklasan ng isang kalahok ng Bug Bounty na naghahanap ng reward para sa paghahanap ng mga isyu sa seguridad. Ang isyu ay nakakaapekto sa parehong serbisyo ng GitHub.com at mga configuration ng GitHub Enterprise Server (GHES) na tumatakbo sa mga system ng user.
Ang pagsusuri sa mga log at pag-audit ng imprastraktura ay hindi nagbunyag ng anumang mga bakas ng pagsasamantala sa kahinaan sa nakaraan maliban sa aktibidad ng mananaliksik na nag-ulat ng problema. Gayunpaman, ang imprastraktura ay pinasimulan upang palitan ang lahat ng encryption key at mga kredensyal na posibleng makompromiso kung ang kahinaan ay pinagsamantalahan ng isang umaatake. Ang pagpapalit ng mga panloob na susi ay humantong sa pagkaantala ng ilang serbisyo mula Disyembre 27 hanggang 29. Sinubukan ng mga administrator ng GitHub na isaalang-alang ang mga pagkakamaling nagawa sa panahon ng pag-update ng mga susi na nakakaapekto sa mga kliyenteng ginawa kahapon.
Sa iba pang mga bagay, ang GPG key na ginamit sa digitally sign ng mga commit na ginawa sa pamamagitan ng GitHub web editor kapag tumatanggap ng mga pull request sa site o sa pamamagitan ng Codespace toolkit ay na-update. Ang lumang susi ay tumigil sa pagiging wasto noong Enero 16 sa 23:23 oras ng Moscow, at isang bagong susi ang ginamit mula pa kahapon. Simula sa Enero XNUMX, lahat ng bagong commit na nilagdaan gamit ang nakaraang key ay hindi mamarkahan bilang na-verify sa GitHub.
Na-update din noong Enero 16 ang mga pampublikong key na ginamit upang i-encrypt ang data ng user na ipinadala sa pamamagitan ng API sa GitHub Actions, GitHub Codespaces, at Dependabot. Pinapayuhan ang mga user na gumagamit ng mga pampublikong key na pagmamay-ari ng GitHub upang suriin ang mga commit nang lokal at i-encrypt ang data sa transit na tiyaking na-update nila ang kanilang mga GitHub GPG key upang patuloy na gumana ang kanilang mga system pagkatapos mapalitan ang mga key.
Naayos na ng GitHub ang kahinaan sa GitHub.com at naglabas ng update ng produkto para sa GHES 3.8.13, 3.9.8, 3.10.5 at 3.11.3, na kinabibilangan ng pag-aayos para sa CVE-2024-0200 (hindi ligtas na paggamit ng mga reflection na humahantong sa code execution o mga paraan na kinokontrol ng user sa gilid ng server). Maaaring magsagawa ng pag-atake sa mga lokal na pag-install ng GHES kung ang umaatake ay may account na may mga karapatan sa may-ari ng organisasyon.
Pinagmulan: opennet.ru