Nếu bị khai thác, những lỗ hổng này có thể cho phép kẻ tấn công truy cập trái phép vào thông tin nhạy cảm hoặc thường gây ra sự cố
Vài ngày trước, GitHub được công bố Thông qua một bài đăng trên blog, chi tiết về lỗ hổng cho phép bạn truy cập nội dung của các biến môi trường được hiển thị trong các vùng chứa được sử dụng trong cơ sở hạ tầng sản xuất của bạn.
Lỗ hổng này được phát hiện bởi một người tham gia chương trình Bug Bounty, được thiết kế để tìm ra các vấn đề bảo mật và trao thưởng cho các nhà nghiên cứu vì những phát hiện của họ. Vấn đề này ảnh hưởng đến cả dịch vụ GitHub và đến các cấu hình Máy chủ GitHub Enterprise (GHES) chạy trên hệ thống của người dùng.
Lỗ hổng bảo mật, được phân loại theo CVE-2024-0200 với điểm nghiêm trọng cao là 7.2 (CVSS), chưa được khai thác trong tự nhiên, Người ta đề cập rằng sau khi phân tích hồ sơ và kiểm tra cơ sở hạ tầng, không tìm thấy bằng chứng nào về việc khai thác lỗ hổng trong quá khứ, ngoại trừ hoạt động của nhà nghiên cứu đã báo cáo vấn đề. Tuy nhiên, như một biện pháp phòng ngừa, chúng tôi đã thay thế tất cả các khóa mã hóa và thông tin xác thực có thể bị xâm phạm nếu kẻ tấn công khai thác lỗ hổng.
GitHub Enterprise Server (GHES) được cho là bị ảnh hưởng, nhưng Khai thác lỗ hổng yêu cầu người dùng được xác thực có vai trò chủ sở hữu của tổ chức đăng nhập vào tài khoản trên phiên bản GHES, hạn chế khả năng bị khai thác.
Lỗ hổng này cũng xuất hiện trong GitHub Enterprise Server (GHES). Tuy nhiên, hoạt động khai thác yêu cầu người dùng được xác thực có vai trò Chủ sở hữu tổ chức để đăng nhập vào tài khoản trên phiên bản GHES, đây là một tập hợp các tình tiết giảm nhẹ quan trọng đối với hoạt động khai thác tiềm năng. Bản vá hiện có vào hôm nay, ngày 16 tháng 2024 năm 3.8.13, dành cho các phiên bản GHES 3.9.8, 3.10.5, 3.11.3 và XNUMX. Chúng tôi khuyên khách hàng của GHES nên áp dụng bản vá ngay khi có thể.
Sự thay đổi thông tin xác thực trên hệ thống sản xuất của chúng tôi đã gây ra một loạt dịch vụ ngừng hoạt động từ ngày 27 đến ngày 29 tháng XNUMX. Chúng tôi nhận thấy tác động của chúng đối với những khách hàng dựa vào GitHub và đã cải thiện quy trình luân chuyển thông tin xác thực để giảm nguy cơ ngừng hoạt động ngoài dự kiến trong tương lai.
điều đáng nói là Lỗ hổng trong GitHub đã được sửa và bản cập nhật đã được phát hành phát hành sản phẩm cho GHES 3.8.13, 3.9.8, 3.10.5 và 3.11.3, GitHub đã mô tả lỗ hổng trong GHES là trường hợp "Sử dụng Reflection không an toàn", gây ra rủi ro khi tiêm phản xạ và thực thi mã từ xa (như những loại lỗ hổng này dẫn đến việc thực thi mã hoặc các phương thức do người dùng kiểm soát ở phía máy chủ).
Việc thay thế các khóa nội bộ này đã khiến một số dịch vụ bị gián đoạn từ ngày 27 đến ngày 29 tháng XNUMX. Quản trị viên GitHub đã cố gắng rút kinh nghiệm từ những sai lầm mắc phải khi cập nhật khóa ảnh hưởng đến khách hàng.
Trong số các hành động được thực hiện, đã cập nhật khóa ký cam kết riêng tư GitHub GPG được sử dụng để ký các cam kết bạn tạo trên GitHub. Chúng bao gồm các cam kết được tạo trong trình soạn thảo web, thông qua không gian mã, thông qua dòng lệnh trong không gian mã hoặc thông qua các hoạt động yêu cầu kéo hoặc thông qua Codespace. Khóa cũ không còn hiệu lực vào ngày 16 tháng 23 và khóa mới đã được sử dụng kể từ đó. Bắt đầu từ ngày 16 tháng XNUMX, tất cả các cam kết mới được ký bằng khóa cũ sẽ không được đánh dấu là đã xác minh trên GitHub. Vào ngày XNUMX tháng XNUMX, các khóa chung dùng để mã hóa dữ liệu người dùng được gửi qua API tới GitHub Actions, GitHub Codespaces và Dependabot cũng đã được cập nhật.
Ngoài nó, Người dùng nên sử dụng các khóa chung do GitHub sở hữu này để xác minh các cam kết cục bộ và mã hóa dữ liệu khi truyền để đảm bảo bạn đã cập nhật khóa GPG GitHub để hệ thống của bạn tiếp tục hoạt động sau khi khóa được thay đổi.
cuối cùng nếu bạn là muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.