GitHub இல் GPG விசைகளில் பாதிப்பு இருப்பதை அவர்கள் கண்டறிந்தனர்

பாதிப்பு

சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்

சில நாட்களுக்கு முன்பு, GitHub வெளியிட்டது ஒரு வலைப்பதிவு இடுகை மூலம், தி ஒரு பாதிப்பு பற்றிய விவரங்கள் இது உங்கள் உற்பத்தி உள்கட்டமைப்பில் பயன்படுத்தப்படும் கொள்கலன்களில் வெளிப்படும் சூழல் மாறிகளின் உள்ளடக்கத்தை அணுக உங்களை அனுமதிக்கிறது.

பாதுகாப்புச் சிக்கல்களைக் கண்டறிந்து ஆராய்ச்சியாளர்களுக்கு அவர்களின் கண்டுபிடிப்புகளுக்கு வெகுமதி அளிக்கும் வகையில் வடிவமைக்கப்பட்ட Bug Bounty திட்டத்தில் ஒரு பங்கேற்பாளரால் பாதிப்பு கண்டறியப்பட்டது. இந்த பிரச்சனை GitHub சேவை மற்றும் இரண்டையும் பாதிக்கிறது கட்டமைப்புகளுக்கு கிட்ஹப் எண்டர்பிரைஸ் சர்வர் (GHES) பயனர்களின் கணினிகளில் இயங்கும்.

பாதுகாப்பு பாதிப்பு, CVE-2024-0200 இன் கீழ் பட்டியலிடப்பட்டுள்ளது 7.2 (CVSS) உயர் தீவிர மதிப்பெண்ணுடன் இயற்கையில் சுரண்டப்படவில்லை பதிவேடுகளை ஆராய்ந்து, உள்கட்டமைப்பைத் தணிக்கை செய்த பிறகு, சிக்கலைப் புகாரளித்த ஆய்வாளரின் செயல்பாடுகளைத் தவிர, கடந்த காலங்களில் பாதிப்புகளைச் சுரண்டியதற்கான எந்த ஆதாரமும் கிடைக்கவில்லை என்று குறிப்பிடப்பட்டுள்ளது. எவ்வாறாயினும், ஒரு தடுப்பு நடவடிக்கையாக, பாதிப்பை தாக்குபவர் பயன்படுத்தினால், சமரசம் செய்யக்கூடிய அனைத்து குறியாக்க விசைகள் மற்றும் சான்றுகளை மாற்றியுள்ளோம்.

GitHub Enterprise Server (GHES) பாதிக்கப்பட்டுள்ளதாகக் குறிப்பிடப்பட்டுள்ளது, ஆனால் பாதிப்பைப் பயன்படுத்த, உரிமையாளரின் பங்கைக் கொண்ட அங்கீகரிக்கப்பட்ட பயனர் தேவை நிறுவனம் GHES நிகழ்வில் ஒரு கணக்கில் உள்நுழைகிறது, இது சுரண்டலுக்கான சாத்தியத்தை கட்டுப்படுத்துகிறது.

இந்த பாதிப்பு கிட்ஹப் எண்டர்பிரைஸ் சர்வரிலும் (ஜிஹெச்இஎஸ்) உள்ளது. எவ்வாறாயினும், சுரண்டலுக்கு, GHES நிகழ்வில் கணக்கில் உள்நுழைய, நிறுவன உரிமையாளர் பாத்திரத்துடன் அங்கீகரிக்கப்பட்ட பயனர் தேவை, இது சாத்தியமான சுரண்டலுக்கான சூழ்நிலைகளைத் தணிக்கும் முக்கியமான தொகுப்பாகும். GHES பதிப்புகள் 16, 2024, 3.8.13 மற்றும் 3.9.8 ஆகியவற்றுக்கான இணைப்பு இன்று ஜனவரி 3.10.5, 3.11.3 அன்று கிடைக்கிறது. GHES வாடிக்கையாளர்கள் தங்களால் முடிந்தவரை விரைவில் பேட்சைப் பயன்படுத்துமாறு பரிந்துரைக்கிறோம்.

டிசம்பர் 27 மற்றும் 29 க்கு இடையில் எங்கள் தயாரிப்பு அமைப்புகளில் நற்சான்றிதழ் குழப்பம் ஒரு தொடர் சேவை செயலிழப்பை ஏற்படுத்தியது. GitHub ஐ நம்பியிருக்கும் எங்கள் வாடிக்கையாளர்களுக்கு அவர்கள் ஏற்படுத்திய தாக்கத்தை நாங்கள் அங்கீகரிக்கிறோம் மற்றும் எதிர்காலத்தில் திட்டமிடப்படாத வேலையில்லா நேரத்தின் அபாயத்தைக் குறைக்க எங்கள் நற்சான்றிதழ் சுழற்சி நடைமுறைகளை மேம்படுத்தியுள்ளோம்.

அதைக் குறிப்பிடுவது மதிப்பு GitHub இல் உள்ள பாதிப்பு சரி செய்யப்பட்டு, புதுப்பிப்பு வெளியிடப்பட்டது GHES 3.8.13, 3.9.8, 3.10.5, மற்றும் 3.11.3 க்கான தயாரிப்பு வெளியீடு, GitHub ஆனது GHES இல் உள்ள பாதிப்பை "பிரதிபலிப்பு பாதுகாப்பற்ற பயன்பாடு" என வகைப்படுத்தியது, இது பிரதிபலிப்பு ஊசி மற்றும் ரிமோட் குறியீடு செயல்படுத்தல் (எனவே) இந்த வகையான பாதிப்புகள் குறியீடு செயல்படுத்தல் அல்லது சேவையக பக்கத்தில் பயனர் கட்டுப்படுத்தும் முறைகளுக்கு வழிவகுக்கும்).

இந்த உள் விசைகளை மாற்றியதால் டிசம்பர் 27 முதல் 29 வரை சில சேவைகளில் தடங்கல் ஏற்பட்டது. GitHub நிர்வாகிகள் வாடிக்கையாளர்களைப் பாதிக்கும் விசைகளைப் புதுப்பிக்கும்போது ஏற்படும் தவறுகளிலிருந்து கற்றுக்கொள்ள முயற்சித்துள்ளனர்.

எடுக்கப்பட்ட நடவடிக்கைகளில், புதுப்பிக்கப்பட்ட GitHub GPG பிரைவேட் கமிட் கையொப்ப விசை GitHub இல் நீங்கள் உருவாக்கும் கமிட்களில் கையொப்பமிட இது பயன்படுகிறது. இணைய எடிட்டரில், ஒரு குறியீட்டு இடத்தின் மூலம், ஒரு குறியீட்டு இடத்தில் கட்டளை வரி மூலம் அல்லது இழுக்கும் கோரிக்கை செயல்பாடுகள் அல்லது கோட்ஸ்பேஸ் மூலம் உருவாக்கப்பட்ட கமிட்கள் இதில் அடங்கும். ஜனவரி 16 ஆம் தேதி பழைய விசை செல்லாததாக மாறியது, அதன்பிறகு புதிய சாவி பயன்படுத்தப்பட்டது. ஜனவரி 23 முதல், பழைய விசையுடன் கையொப்பமிடப்பட்ட அனைத்து புதிய கமிட்களும் GitHub இல் சரிபார்க்கப்பட்டதாகக் குறிக்கப்படாது. ஜனவரி 16 அன்று, API வழியாக GitHub செயல்கள், GitHub Codespaces மற்றும் Dependabot ஆகியவற்றிற்கு அனுப்பப்பட்ட பயனர் தரவை குறியாக்கப் பயன்படுத்தப்படும் பொது விசைகளும் புதுப்பிக்கப்பட்டன.

இது தவிர, உள்நாட்டில் கமிட்களைச் சரிபார்க்க, இந்த GitHub-க்குச் சொந்தமான பொது விசைகளைப் பயன்படுத்த பயனர்கள் பரிந்துரைக்கப்படுகிறார்கள் மற்றும் உங்கள் GitHub GPG விசைகளைப் புதுப்பித்துள்ளதை உறுதிசெய்யும் டிரான்சிட்டில் தரவை குறியாக்கம் செய்யுங்கள், இதனால் விசைகள் மாற்றப்பட்ட பிறகும் உங்கள் கணினிகள் தொடர்ந்து செயல்படும்.

இறுதியாக நீங்கள் இருந்தால் அதைப் பற்றி மேலும் அறிய ஆர்வமாக, நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.