GitHub ishlab chiqarish infratuzilmasida ishlatiladigan konteynerlarda ta'sirlangan muhit o'zgaruvchilari tarkibiga kirish imkonini beruvchi zaiflikni oshkor qildi. Zaiflikni Bug Bounty ishtirokchisi xavfsizlik masalalarini topgani uchun mukofot so‘rab topdi. Muammo GitHub.com xizmatiga va foydalanuvchi tizimlarida ishlaydigan GitHub Enterprise Server (GHES) konfiguratsiyalariga ta'sir qiladi.
Jurnallar tahlili va infratuzilmaning auditi muammo haqida xabar bergan tadqiqotchi faoliyatidan tashqari o'tmishda zaiflikdan foydalanish izlarini aniqlamadi. Biroq, agar zaiflikdan tajovuzkor tomonidan foydalanilgan bo'lsa, xavf tug'dirishi mumkin bo'lgan barcha shifrlash kalitlari va hisob ma'lumotlarini almashtirish uchun infratuzilma ishga tushirildi. Ichki kalitlarning almashtirilishi 27-29 dekabr kunlari ayrim xizmatlarning uzilishiga olib keldi. GitHub ma'murlari kecha qilingan mijozlarga ta'sir qiluvchi kalitlarni yangilash vaqtida yo'l qo'yilgan xatolarni hisobga olishga harakat qilishdi.
Boshqa narsalar qatorida, saytda yoki Codespace asboblar to'plami orqali tortib olish so'rovlarini qabul qilishda GitHub veb-muharriri orqali yaratilgan majburiyatlarni raqamli imzolash uchun ishlatiladigan GPG kaliti yangilandi. Eski kalit 16-yanvar kuni Moskva vaqti bilan soat 23:23 da o‘z faoliyatini to‘xtatdi va kechadan boshlab uning o‘rniga yangi kalit ishlatila boshlandi. XNUMX-yanvardan boshlab, oldingi kalit bilan imzolangan barcha yangi majburiyatlar GitHub-da tasdiqlangan deb belgilanmaydi.
16 yanvarda GitHub Actions, GitHub Codespaces va Dependabot-ga API orqali yuborilgan foydalanuvchi ma'lumotlarini shifrlash uchun ishlatiladigan ochiq kalitlar ham yangilandi. Mahalliy majburiyatlarni tekshirish va tranzitda maʼlumotlarni shifrlash uchun GitHubga tegishli ochiq kalitlardan foydalanadigan foydalanuvchilarga GitHub GPG kalitlarini yangilaganligiga ishonch hosil qilish tavsiya etiladi, shunda ularning tizimlari kalitlar almashtirilgandan keyin ham ishlashda davom etadi.
GitHub allaqachon GitHub.com saytidagi zaiflikni tuzatgan va CVE-3.8.13-3.9.8 uchun tuzatishni o'z ichiga olgan GHES 3.10.5, 3.11.3, 2024 va 0200 uchun mahsulot yangilanishini chiqardi (aks ettirishdan xavfli foydalanish server tomonida kodni bajarish yoki foydalanuvchi tomonidan boshqariladigan usullar). Mahalliy GHES qurilmalariga hujum, agar tajovuzkor tashkilot egasi huquqlariga ega hisob qaydnomasiga ega boʻlsa, amalga oshirilishi mumkin.
Manba: opennet.ru