پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > GitHub نے ماحولیاتی متغیر لیک کے خطرے کی وجہ سے GPG کیز کو اپ ڈیٹ کیا ہے۔

GitHub نے ماحولیاتی متغیر لیک کے خطرے کی وجہ سے GPG کیز کو اپ ڈیٹ کیا ہے۔

GitHub نے ایک کمزوری کا انکشاف کیا ہے جو پروڈکشن انفراسٹرکچر میں استعمال ہونے والے کنٹینرز میں سامنے آنے والے ماحولیاتی متغیرات کے مواد تک رسائی کی اجازت دیتا ہے۔ خطرے کا پتہ بگ باونٹی کے ایک شریک نے سیکیورٹی کے مسائل تلاش کرنے کے لیے انعام کے لیے تلاش کیا۔ یہ مسئلہ GitHub.com سروس اور GitHub انٹرپرائز سرور (GHES) کنفیگریشن دونوں کو متاثر کرتا ہے جو صارف کے سسٹمز پر چل رہے ہیں۔

لاگز کے تجزیے اور انفراسٹرکچر کے آڈٹ سے ماضی میں کمزوری کے استحصال کے کوئی نشانات سامنے نہیں آئے سوائے اس مسئلے کی اطلاع دینے والے محقق کی سرگرمی کے۔ تاہم، انفراسٹرکچر کو تمام انکرپشن کیز اور اسناد کو تبدیل کرنے کے لیے شروع کیا گیا تھا جن سے ممکنہ طور پر سمجھوتہ کیا جا سکتا ہے اگر کسی حملہ آور کے ذریعے کمزوری کا فائدہ اٹھایا جائے۔ اندرونی چابیاں تبدیل کرنے سے 27 سے 29 دسمبر تک کچھ خدمات میں خلل پڑا۔ GitHub کے منتظمین نے کلائنٹس کو متاثر کرنے والی کلیدوں کی اپ ڈیٹ کے دوران کی گئی غلطیوں کو مدنظر رکھنے کی کوشش کی۔

دوسری چیزوں کے علاوہ، GPG کلید کو ڈیجیٹل طور پر سائن کرنے کے لیے استعمال کیا جاتا ہے جو GitHub ویب ایڈیٹر کے ذریعے تخلیق کی جاتی ہے جب سائٹ پر یا کوڈ اسپیس ٹول کٹ کے ذریعے پل کی درخواستیں قبول کی جاتی ہیں۔ پرانی کلید 16 جنوری کو ماسکو کے وقت کے مطابق 23:23 بجے کارآمد ہونا بند ہو گئی، اور کل سے اس کی بجائے ایک نئی کلید استعمال ہو رہی ہے۔ XNUMX جنوری سے، پچھلی کلید کے ساتھ دستخط کیے گئے تمام نئے وعدوں کو GitHub پر تصدیق شدہ کے بطور نشان زد نہیں کیا جائے گا۔

16 جنوری نے GitHub ایکشنز، GitHub Codespaces، اور Dependabot کو API کے ذریعے بھیجے گئے صارف کے ڈیٹا کو خفیہ کرنے کے لیے استعمال ہونے والی عوامی کلیدوں کو بھی اپ ڈیٹ کیا۔ وہ صارفین جو GitHub کی ملکیت والی پبلک کیز کو مقامی طور پر کمٹ کی جانچ پڑتال کے لیے استعمال کرتے ہیں اور ٹرانزٹ میں ڈیٹا کو انکرپٹ کرتے ہیں ان کو مشورہ دیا جاتا ہے کہ وہ اس بات کو یقینی بنائیں کہ انہوں نے اپنی GitHub GPG کیز کو اپ ڈیٹ کر لیا ہے تاکہ کیز تبدیل ہونے کے بعد ان کے سسٹم کام کرتے رہیں۔

GitHub نے پہلے ہی GitHub.com پر خطرے کو ٹھیک کر دیا ہے اور GHES 3.8.13، 3.9.8، 3.10.5 اور 3.11.3 کے لیے ایک پروڈکٹ اپ ڈیٹ جاری کیا ہے، جس میں CVE-2024-0200 کے لیے ایک فکس شامل ہے (انعکاس کا غیر محفوظ استعمال کوڈ پر عمل درآمد یا سرور کی طرف صارف کے زیر کنٹرول طریقے)۔ مقامی GHES تنصیبات پر حملہ کیا جا سکتا ہے اگر حملہ آور کے پاس تنظیم کے مالک کے حقوق کے ساتھ کوئی اکاؤنٹ ہو۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں