Se exploradas, essas falhas podem permitir que invasores obtenham acesso não autorizado a informações confidenciais ou geralmente causem problemas
Poucos dias atrás, GitHub revelado Através de uma postagem no blog, o detalhes sobre uma vulnerabilidade que permite acessar o conteúdo de variáveis de ambiente expostas em contêineres usados em sua infraestrutura de produção.
A vulnerabilidade foi descoberta por um participante do programa Bug Bounty, desenvolvido para encontrar problemas de segurança e recompensar pesquisadores por suas descobertas. Este problema afeta o serviço GitHub e para as configurações Servidor GitHub Enterprise (GHES) que são executados nos sistemas dos usuários.
A vulnerabilidade de segurança, catalogado sob CVE-2024-0200 com uma pontuação de gravidade alta de 7.2 (CVSS), não foi explorado na natureza, Menciona-se que após análise dos registros e auditoria da infraestrutura, não foram encontradas evidências de exploração da vulnerabilidade no passado, exceto pela atividade do pesquisador que relatou o problema. No entanto, como medida preventiva, substituímos todas as chaves de criptografia e credenciais que poderiam ter sido comprometidas se um invasor explorasse a vulnerabilidade.
GitHub Enterprise Server (GHES) é mencionado como afetado, mas Explorar a vulnerabilidade requer um usuário autenticado com função de proprietário da organização faça login em uma conta na instância GHES, limitando o potencial de exploração.
Esta vulnerabilidade também está presente no GitHub Enterprise Server (GHES). No entanto, a exploração requer que um usuário autenticado com função de proprietário da organização faça login em uma conta na instância GHES, o que é um conjunto importante de circunstâncias atenuantes para uma exploração potencial. Um patch está disponível hoje, 16 de janeiro de 2024, para as versões 3.8.13, 3.9.8, 3.10.5 e 3.11.3 do GHES. Recomendamos que os clientes do GHES apliquem o adesivo assim que possível.
A rotatividade de credenciais em nossos sistemas de produção causou uma série de interrupções de serviço entre 27 e 29 de dezembro. Reconhecemos o impacto que tiveram sobre nossos clientes que confiam no GitHub e melhoramos nossos procedimentos de rotação de credenciais para reduzir o risco de tempo de inatividade não planejado no futuro.
Cabe mencionar que A vulnerabilidade no GitHub foi corrigida e uma atualização foi lançada lançamento do produto para GHES 3.8.13, 3.9.8, 3.10.5 e 3.11.3, o GitHub caracterizou a vulnerabilidade no GHES como um caso de "uso inseguro do Reflection", que apresenta riscos de injeção de reflexão e execução remota de código (como esses tipos de vulnerabilidades levam à execução de código ou métodos controlados pelo usuário no lado do servidor).
A substituição destas chaves internas resultou na interrupção de alguns serviços entre os dias 27 e 29 de dezembro. Os administradores do GitHub tentaram aprender com os erros cometidos durante a atualização de chaves que afetam os clientes.
Entre as ações realizadas, chave de assinatura de commit privada atualizada do GitHub GPG que é usado para assinar os commits que você cria no GitHub. Isso inclui commits criados no editor web, por meio de um espaço de código, por meio da linha de comando em um espaço de código, ou por meio de operações de pull request ou por meio de Codespace. A chave antiga tornou-se inválida em 16 de janeiro e uma nova chave tem sido usada desde então. A partir de 23 de janeiro, todos os novos commits assinados com a chave antiga não serão marcados como verificados no GitHub. Em 16 de janeiro, as chaves públicas usadas para criptografar os dados do usuário enviados por meio da API para GitHub Actions, GitHub Codespaces e Dependabot também foram atualizadas.
Além disso, Recomenda-se que os usuários usem essas chaves públicas de propriedade do GitHub para verificar commits localmente e criptografar dados em trânsito que garantem que você atualizou suas chaves GPG do GitHub para que seus sistemas continuem funcionando após a alteração das chaves.
finalmente se você está interessado em saber mais sobre o assunto, você pode verificar os detalhes no link a seguir.