GitHub 披露了一个漏洞,允许访问生产基础设施中使用的容器中公开的环境变量的内容。该漏洞是由 Bug Bounty 参与者发现的,该参与者寻求因发现安全问题而获得奖励。该问题会影响用户系统上运行的 GitHub.com 服务和 GitHub Enterprise Server (GHES) 配置。
除了报告问题的研究人员的活动之外,对日志的分析和对基础设施的审计没有发现过去利用该漏洞的任何痕迹。然而,该基础设施已启动,以替换所有加密密钥和凭据,如果攻击者利用该漏洞,这些密钥和凭据可能会受到损害。更换内部密钥导致 27 月 29 日至 XNUMX 日部分服务中断。 GitHub 管理员试图考虑昨天影响客户端的密钥更新过程中所犯的错误。
除此之外,在网站上或通过 Codespace 工具包接受拉取请求时,用于对通过 GitHub Web 编辑器创建的提交进行数字签名的 GPG 密钥已更新。旧密钥于莫斯科时间 16 月 23 日 23:XNUMX 失效,从昨天起开始使用新密钥。从 XNUMX 月 XNUMX 日开始,使用先前密钥签名的所有新提交都不会在 GitHub 上标记为已验证。
16 月 XNUMX 日还更新了用于加密通过 API 发送到 GitHub Actions、GitHub Codespaces 和 Dependabot 的用户数据的公钥。建议使用 GitHub 拥有的公钥在本地检查提交并对传输中的数据进行加密的用户确保已更新其 GitHub GPG 密钥,以便其系统在密钥更改后继续运行。
GitHub 已在 GitHub.com 上修复了该漏洞,并发布了 GHES 3.8.13、3.9.8、3.10.5 和 3.11.3 的产品更新,其中包括对 CVE-2024-0200(不安全使用反射导致服务器端的代码执行或用户控制的方法)。如果攻击者拥有具有组织所有者权限的帐户,则可以对本地 GHES 安装进行攻击。
来源: opennet.ru