إذا تم استغلالها ، يمكن أن تسمح هذه العيوب للمهاجمين بالوصول غير المصرح به إلى المعلومات الحساسة أو التسبب بشكل عام في حدوث مشكلات
قبل بضعة أيام، كشف النقاب عن جيثب من خلال منشور بالمدونة، تفاصيل حول ثغرة أمنية والذي يسمح لك بالوصول إلى محتوى متغيرات البيئة المكشوفة في الحاويات المستخدمة في البنية التحتية للإنتاج لديك.
تم اكتشاف الثغرة الأمنية من قبل أحد المشاركين في برنامج Bug Bounty، المصمم للعثور على المشاكل الأمنية ومكافأة الباحثين على النتائج التي يتوصلون إليها. هذه المشكلة يؤثر على كل من خدمة GitHub و إلى التكوينات خادم المؤسسة جيثب (GHES) التي تعمل على أنظمة المستخدمين.
الثغرة الأمنية مفهرسة تحت CVE-2024-0200 بدرجة خطورة عالية تبلغ 7.2 (CVSS)، لم يتم استغلالها في الطبيعة، يذكر أنه بعد تحليل السجلات وتدقيق البنية التحتية، لم يتم العثور على أي دليل على استغلال الثغرة في السابق، باستثناء نشاط الباحث الذي أبلغ عن المشكلة. ومع ذلك، كإجراء وقائي، قمنا باستبدال جميع مفاتيح التشفير وبيانات الاعتماد التي كان من الممكن أن تتعرض للاختراق إذا استغل أحد المهاجمين الثغرة الأمنية.
يُذكر أن GitHub Enterprise Server (GHES) قد تأثر، ولكن يتطلب استغلال الثغرة الأمنية وجود مستخدم تمت مصادقته له دور المالك من المؤسسة تسجيل الدخول إلى حساب على مثيل GHES، مما يحد من احتمالية الاستغلال.
توجد مشكلة عدم الحصانة هذه أيضًا في GitHub Enterprise Server (GHES). ومع ذلك، تتطلب البرمجيات الخبيثة مستخدمًا تمت مصادقته بدور مالك المؤسسة لتسجيل الدخول إلى حساب على مثيل GHES، وهي مجموعة مهمة من الظروف المخففة لاستغلال محتمل. يتوفر التصحيح اليوم، 16 يناير 2024، لإصدارات GHES 3.8.13 و3.9.8 و3.10.5 و3.11.3. نوصي عملاء GHES بتطبيق التصحيح في أقرب وقت ممكن.
تسبب خلل بيانات الاعتماد في أنظمة الإنتاج لدينا في سلسلة من انقطاعات الخدمة في الفترة ما بين 27 و29 ديسمبر. نحن ندرك تأثيرها على عملائنا الذين يعتمدون على GitHub وقمنا بتحسين إجراءات تدوير بيانات الاعتماد لدينا لتقليل مخاطر التوقف غير المخطط له في المستقبل.
ومن الجدير بالذكر أن تم إصلاح الثغرة الأمنية في GitHub وتم إصدار تحديث إصدار المنتج لـ GHES 3.8.13 و3.9.8 و3.10.5 و3.11.3، وصف GitHub الثغرة الأمنية في GHES كحالة "الاستخدام غير الآمن للانعكاس"، مما يشكل مخاطر حقن الانعكاس وتنفيذ التعليمات البرمجية عن بعد (كما هو الحال مع تؤدي هذه الأنواع من الثغرات الأمنية إلى تنفيذ تعليمات برمجية أو أساليب يتحكم فيها المستخدم من جانب الخادم).
وأدى استبدال هذه المفاتيح الداخلية إلى انقطاع بعض الخدمات في الفترة من 27 إلى 29 ديسمبر. حاول مسؤولو GitHub التعلم من الأخطاء التي ارتكبت أثناء تحديث المفاتيح التي تؤثر على العملاء.
ومن بين الإجراءات المتخذة تم تحديث مفتاح توقيع الالتزام الخاص لـ GitHub GPG والذي يُستخدم للتوقيع على الالتزامات التي تقوم بإنشائها على GitHub. يتضمن ذلك الالتزامات التي تم إنشاؤها في محرر الويب، من خلال مساحة التعليمات البرمجية، من خلال سطر الأوامر في مساحة التعليمات البرمجية، أو من خلال عمليات طلب السحب أو من خلال Codespace. أصبح المفتاح القديم غير صالح في 16 يناير وتم استخدام مفتاح جديد منذ ذلك الحين. بدءًا من 23 يناير، لن يتم وضع علامة على جميع الالتزامات الجديدة الموقعة بالمفتاح القديم على أنها تم التحقق منها على GitHub. في 16 يناير، تم أيضًا تحديث المفاتيح العامة المستخدمة لتشفير بيانات المستخدم المرسلة عبر واجهة برمجة التطبيقات إلى GitHub Actions وGitHub Codespaces وDependabot.
بالإضافة إلى ذلك ، يُنصح المستخدمون باستخدام هذه المفاتيح العامة المملوكة لـ GitHub للتحقق من الالتزامات محليًا وتشفير البيانات أثناء النقل مما يضمن قيامك بتحديث مفاتيح GitHub GPG الخاصة بك حتى تستمر أنظمتك في العمل بعد تغيير المفاتيح.
أخيرًا إذا كنت كذلك مهتم بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في الرابط التالي.