Några dagar sen, GitHub presenteras Genom ett blogginlägg har detaljer om en sårbarhet som låter dig komma åt innehållet i miljövariabler som exponeras i behållare som används i din produktionsinfrastruktur.
Sårbarheten upptäcktes av en deltagare i Bug Bounty-programmet, utformat för att hitta säkerhetsproblem och belöna forskare för deras resultat. Det här problemet påverkar både GitHub-tjänsten och till konfigurationerna GitHub Enterprise Server (GHES) som körs på användarnas system.
Säkerhetssårbarheten, katalogiserad under CVE-2024-0200 med en hög allvarlighetsgrad på 7.2 (CVSS), inte har utnyttjats i naturen, Det nämns att efter att ha analyserat journalerna och granskat infrastrukturen, hittades inga bevis på utnyttjande av sårbarheten i det förflutna, förutom aktiviteten hos forskaren som rapporterade problemet. Men som en förebyggande åtgärd ersatte vi alla krypteringsnycklar och autentiseringsuppgifter som kunde ha äventyrats om en angripare utnyttjade sårbarheten.
GitHub Enterprise Server (GHES) nämns vara påverkad, men Att utnyttja sårbarheten kräver en autentiserad användare med en ägarroll av organisationen loggar in på ett konto på GHES-instansen, vilket begränsar potentialen för exploatering.
Denna sårbarhet finns också i GitHub Enterprise Server (GHES). Exploateringen kräver dock att en autentiserad användare med rollen som organisationsägare loggar in på ett konto på GHES-instansen, vilket är en viktig uppsättning förmildrande omständigheter för en potentiell exploatering. En patch är tillgänglig idag, 16 januari 2024, för GHES-versionerna 3.8.13, 3.9.8, 3.10.5 och 3.11.3. Vi rekommenderar att GHES-kunder applicerar plåstret så snart de kan.
Mer information om våra produktionssystem orsakade en rad serviceavbrott mellan 27 och 29 december. Vi inser vilken inverkan de har haft på våra kunder som förlitar sig på GitHub och har förbättrat våra rutiner för rotation av autentiseringsuppgifter för att minska risken för oplanerade driftstopp i framtiden.
Det är värt att nämna det Sårbarheten i GitHub har åtgärdats och en uppdatering har släppts produktrelease för GHES 3.8.13, 3.9.8, 3.10.5 och 3.11.3, GitHub karakteriserade sårbarheten i GHES som ett fall av "Osäker användning av Reflection", vilket innebär risker för reflektionsinjektion och fjärrkodexekvering (som dessa typer av sårbarheter leder till kodexekvering eller användarkontrollerade metoder på serversidan).
Ersättningen av dessa interna nycklar resulterade i ett avbrott i vissa tjänster från 27 till 29 december. GitHub-administratörer har försökt lära sig av misstag som gjorts när de uppdaterar nycklar som påverkar kunder.
Bland de vidtagna åtgärderna, uppdaterad GitHub GPG privat commit signeringsnyckel som används för att signera de åtaganden du skapar på GitHub. Dessa inkluderar commits skapade i webbredigeraren, genom ett kodutrymme, genom kommandoraden i ett kodutrymme, eller genom pull-begäran-operationer eller genom Codespace. Den gamla nyckeln blev ogiltig den 16 januari och en ny nyckel har använts sedan dess. Från och med den 23 januari kommer alla nya åtaganden undertecknade med den gamla nyckeln inte att markeras som verifierade på GitHub. Den 16 januari uppdaterades också de publika nycklarna som används för att kryptera användardata som skickats via API:et till GitHub Actions, GitHub Codespaces och Dependabot.
Utöver det, Användare rekommenderas att använda dessa GitHub-ägda offentliga nycklar för att verifiera åtaganden lokalt och kryptera data under överföring som säkerställer att du har uppdaterat dina GitHub GPG-nycklar så att dina system fortsätter att fungera efter att nycklar har ändrats.
äntligen om du är det intresserad av att veta mer om det, du kan kontrollera detaljerna I följande länk.