GitHub, üretim altyapısında kullanılan konteynerlerde açığa çıkan ortam değişkenlerinin içeriğine erişime izin veren bir güvenlik açığını açıkladı. Güvenlik açığı, güvenlik sorunlarını bulduğu için ödül arayan bir Bug Bounty katılımcısı tarafından keşfedildi. Sorun, hem GitHub.com hizmetini hem de kullanıcı sistemlerinde çalışan GitHub Enterprise Server (GHES) yapılandırmalarını etkiliyor.
Günlüklerin analizi ve altyapının denetimi, sorunu bildiren araştırmacının faaliyeti dışında, geçmişte güvenlik açığından yararlanıldığına dair herhangi bir iz ortaya çıkarmadı. Ancak altyapı, bir saldırganın bu güvenlik açığından yararlanması durumunda tehlikeye girebilecek tüm şifreleme anahtarlarını ve kimlik bilgilerini değiştirecek şekilde başlatıldı. Dahili anahtarların değiştirilmesi, 27-29 Aralık tarihleri arasında bazı hizmetlerin kesintiye uğramasına neden oldu. GitHub yöneticileri dün yapılan istemcileri etkileyen anahtarların güncellenmesi sırasında yapılan hataları dikkate almaya çalıştı.
Diğer şeylerin yanı sıra, sitedeki çekme isteklerini kabul ederken veya Codespace araç seti aracılığıyla GitHub web düzenleyicisi aracılığıyla oluşturulan taahhütleri dijital olarak imzalamak için kullanılan GPG anahtarı güncellendi. Eski anahtarın geçerliliği 16 Ocak'ta Moskova saatiyle 23'te sona erdi ve dünden itibaren onun yerine yeni bir anahtar kullanılmaya başlandı. 23 Ocak'tan itibaren önceki anahtarla imzalanan tüm yeni taahhütler GitHub'da doğrulanmış olarak işaretlenmeyecek.
16 Ocak'ta ayrıca API aracılığıyla GitHub Actions, GitHub Codespaces ve Dependabot'a gönderilen kullanıcı verilerini şifrelemek için kullanılan ortak anahtarlar da güncellendi. Yerel olarak taahhütleri kontrol etmek ve aktarım halindeki verileri şifrelemek için GitHub'a ait ortak anahtarları kullanan kullanıcıların, anahtarlar değiştirildikten sonra sistemlerinin çalışmaya devam etmesi için GitHub GPG anahtarlarını güncellediklerinden emin olmaları önerilir.
GitHub, GitHub.com'daki güvenlik açığını zaten düzeltti ve GHES 3.8.13, 3.9.8, 3.10.5 ve 3.11.3 için CVE-2024-0200 (yansımaların güvenli olmayan şekilde kullanılması) için bir düzeltme içeren bir ürün güncellemesi yayınladı. sunucu tarafında kod yürütme veya kullanıcı kontrollü yöntemler). Saldırganın kurum sahibi haklarına sahip bir hesabı olması durumunda yerel GHES tesislerine saldırı gerçekleştirilebilecek.
Kaynak: opennet.ru