GitHub ti ṣe afihan ailagbara kan ti o fun laaye iwọle si awọn akoonu ti awọn oniyipada ayika ti o farahan ninu awọn apoti ti a lo ninu awọn amayederun iṣelọpọ. Ailagbara naa jẹ awari nipasẹ alabaṣe Bug Bounty ti n wa ẹsan fun wiwa awọn ọran aabo. Ọrọ naa kan mejeeji iṣẹ GitHub.com ati awọn atunto GitHub Enterprise Server (GHES) ti nṣiṣẹ lori awọn eto olumulo.
Onínọmbà ti awọn akọọlẹ ati iṣayẹwo ti awọn amayederun ko ṣe afihan eyikeyi awọn itọpa ti ilokulo ti ailagbara ni igba atijọ ayafi fun iṣẹ ṣiṣe ti oniwadi ti o royin iṣoro naa. Bibẹẹkọ, awọn amayederun ti bẹrẹ lati rọpo gbogbo awọn bọtini fifi ẹnọ kọ nkan ati awọn iwe-ẹri ti o le jẹ gbogun ti ailagbara naa ba jẹ ilokulo nipasẹ ikọlu. Rirọpo awọn bọtini inu yori si idalọwọduro ti diẹ ninu awọn iṣẹ lati Oṣu kejila ọjọ 27 si ọjọ 29. Awọn alabojuto GitHub gbiyanju lati ṣe akiyesi awọn aṣiṣe ti a ṣe lakoko imudojuiwọn ti awọn bọtini ti o kan awọn alabara ti a ṣe ni ana.
Lara awọn ohun miiran, bọtini GPG ti a lo lati ṣe ami ami oni nọmba ti a ṣẹda nipasẹ olootu wẹẹbu GitHub nigbati gbigba awọn ibeere fa lori aaye naa tabi nipasẹ ohun elo irinṣẹ Codespace ti ni imudojuiwọn. Bọtini atijọ ti dẹkun lati wulo ni Oṣu Kini Ọjọ 16 ni 23:23 akoko Moscow, ati pe a ti lo bọtini tuntun dipo lati ana. Bibẹrẹ Oṣu Kini Ọjọ XNUMX, gbogbo awọn adehun tuntun ti o fowo si pẹlu bọtini iṣaaju kii yoo jẹ samisi bi ijẹrisi lori GitHub.
Oṣu Kini Ọjọ 16 tun ṣe imudojuiwọn awọn bọtini ita gbangba ti a lo lati encrypt data olumulo ti a firanṣẹ nipasẹ API si Awọn iṣe GitHub, Awọn aaye koodu GitHub, ati Dependabot. Awọn olumulo ti o lo awọn bọtini gbangba ti GitHub lati ṣayẹwo awọn iṣẹ ni agbegbe ati fifipamọ data ni ọna gbigbe ni imọran lati rii daju pe wọn ti ṣe imudojuiwọn awọn bọtini GitHub GPG wọn ki awọn eto wọn tẹsiwaju lati ṣiṣẹ lẹhin awọn bọtini ti yipada.
GitHub ti ṣe atunṣe ailagbara tẹlẹ lori GitHub.com ati tu imudojuiwọn ọja kan fun GHES 3.8.13, 3.9.8, 3.10.5 ati 3.11.3, eyiti o pẹlu atunṣe fun CVE-2024-0200 (lilo ailewu ti awọn iweyinpada ti o yori si ipaniyan koodu tabi awọn ọna iṣakoso olumulo ni ẹgbẹ olupin). Ikọlu lori awọn fifi sori ẹrọ GHES agbegbe le ṣee ṣe ti ikọlu ba ni akọọlẹ kan pẹlu awọn ẹtọ oniwun agbari.
orisun: opennet.ru