GitHub 揭露了一個漏洞,允許存取生產基礎設施中使用的容器中公開的環境變數的內容。該漏洞是由 Bug Bounty 參與者發現的,該參與者尋求因發現安全問題而獲得獎勵。此問題會影響使用者係統上執行的 GitHub.com 服務和 GitHub Enterprise Server (GHES) 配置。
除了報告問題的研究人員的活動之外,對日誌的分析和對基礎設施的審計沒有發現過去利用該漏洞的任何痕跡。然而,該基礎設施已啟動,以替換所有加密金鑰和憑證,如果攻擊者利用該漏洞,這些金鑰和憑證可能會受到損害。更換內部金鑰導致 27 月 29 日至 XNUMX 日部分服務中斷。 GitHub 管理員試圖考慮昨天影響客戶端的金鑰更新過程中所犯的錯誤。
除此之外,在網站上或透過 Codespace 工具包接受拉取請求時,用於對透過 GitHub Web 編輯器建立的提交進行數位簽署的 GPG 金鑰已更新。舊密鑰於莫斯科時間 16 月 23 日 23:XNUMX 失效,從昨天起開始使用新密鑰。從 XNUMX 月 XNUMX 日開始,使用先前金鑰簽署的所有新提交都不會在 GitHub 上標記為已驗證。
16 月 XNUMX 日還更新了用於加密透過 API 發送到 GitHub Actions、GitHub Codespaces 和 Dependabot 的用戶資料的公鑰。建議使用 GitHub 擁有的公鑰在本地檢查提交並對傳輸中的資料進行加密的用戶確保已更新其 GitHub GPG 金鑰,以便其係統在金鑰更改後繼續運行。
GitHub 已在 GitHub.com 上修復了該漏洞,並發布了 GHES 3.8.13、3.9.8、3.10.5 和 3.11.3 的產品更新,其中包括對 CVE-2024-0200(不安全使用反射導致伺服器端的程式碼執行或使用者控制的方法)。如果攻擊者擁有具有組織擁有者權限的帳戶,則可以對本機 GHES 安裝進行攻擊。
來源: opennet.ru