GitHub розкрив відомості про вразливість, що дозволяє отримати доступ до вмісту змінних оточень, виставлених у контейнерах, які застосовуються в робочій інфраструктурі. Вразливість було виявлено учасником програми Bug Bounty, який претендує на отримання винагороди за пошук проблем з безпекою. Проблема торкається як сервісу GitHub.com, так і конфігурації GitHub Enterprise Server (GHES), що виконуються на системах користувачів.
Аналіз логів та аудит інфраструктури не виявив слідів експлуатації вразливості в минулому, крім активності дослідника, який повідомив про проблему. Тим не менш, в інфраструктурі було ініційовано заміну всіх ключів шифрування та облікових даних, які могли бути потенційно скомпрометовані у разі експлуатації вразливості зловмисником. Заміна внутрішніх ключів спричинила порушення роботи деяких сервісів з 27 по 29 грудня. Адміністратори GitHub спробували врахувати допущені помилки при проведеному вчора оновленні ключів, які стосуються клієнтів.
Серед іншого було оновлено GPG-ключ, який використовується для засвідчення цифровим підписом коммітів, що створюються через web-редактор GitHub при прийнятті pull-запитів на сайті або через інструментарій Codespace. Старий ключ припинив свою дію 16 січня о 23 годині за московським часом, і натомість із вчорашнього дня застосовується новий ключ. Починаючи з 23 січня нові комміти, підписані минулим ключем, не будуть помічені на сайті GitHub як верифіковані.
16 січня також оновлено відкриті ключі, які використовуються для шифрування користувачем даних, що надсилаються через API у GitHub Actions, GitHub Codespaces та Dependabot. Користувачам, які застосовують для локальної перевірки коммітів і шифрування даних, що передаються, відкриті ключі, що належать GitHub, рекомендується переконатися, що вони оновили GPG-ключі GitHub, і їх системи продовжують функціонувати після проведеної заміни ключів.
Компанія GitHub вже усунула вразливість на сайті GitHub.com і випустила оновлення продукту GHES 3.8.13, 3.9.8, 3.10.5 та 3.11.3, в якому зазначено виправлення CVE-2024-0200 (небезпечне використання відображень, що призводить до виконання контрольованих користувачем методів за сервера). Атака на локальні установки GHES могла бути здійснена за наявності у зловмисника облікового запису з правами управління організацією (organization owner).
Джерело: opennet.ru