幾天前, GitHub 揭曉 透過一篇部落格文章, 有關漏洞的詳細信息 它允許您存取生產基礎架構中使用的容器中公開的環境變數的內容。
該漏洞是由 Bug Bounty 計劃的一名參與者發現的,該計劃旨在發現安全問題並獎勵研究人員的發現。這個問題 影響 GitHub 服務和 到配置 GitHub企業服務器 (GHES) 在使用者係統上運作。
安全漏洞, 編目為 CVE-2024-0200 嚴重程度評分高達 7.2 (CVSS), 尚未在自然界中被開發利用, 據稱,在分析記錄和審核基礎設施後,除了報告該問題的研究人員的活動之外,沒有發現過去利用該漏洞的證據。但是,作為預防措施,我們取代瞭如果攻擊者利用該漏洞可能會洩露的所有加密金鑰和憑證。
GitHub Enterprise Server (GHES) 據稱受到影響,但 利用該漏洞需要具有所有者角色的經過身份驗證的用戶 組織的登入帳號登入 GHES 實例,限制了被利用的可能性。
此漏洞也存在於 GitHub Enterprise Server (GHES) 中。但是,該漏洞利用需要具有組織所有者角色的經過身份驗證的使用者登入 GHES 實例上的帳戶,這是針對潛在漏洞利用的一組重要的緩解環境。 GHES 版本 16、2024、3.8.13 和 3.9.8 的修補程式已於今日(3.10.5 年 3.11.3 月 XNUMX 日)發布。我們建議 GHES 客戶盡快套用該修補程式。
27 月 29 日至 XNUMX 日期間,我們生產系統的憑證流失導致了一系列服務中斷。我們認識到它們對依賴 GitHub 的客戶產生的影響,並改進了我們的憑證輪換程序,以降低未來意外停機的風險。
值得一提的是 GitHub 中的漏洞已修復並已發布更新 在GHES 3.8.13、3.9.8、3.10.5 和3.11.3 的產品版本中,GitHub 將GHES 中的漏洞描述為「不安全使用反射」的情況,這會帶來反射注入和遠端程式碼執行的風險(如這些類型的漏洞會導致伺服器端的程式碼執行或使用者控制的方法)。
更換這些內部金鑰導致 27 月 29 日至 XNUMX 日部分服務中斷。 GitHub 管理員試圖從更新影響客戶的金鑰時所犯的錯誤中學習。
在採取的行動中, 更新了 GitHub GPG 私人提交簽署金鑰 它用於簽署您在 GitHub 上建立的提交。其中包括在 Web 編輯器中透過程式碼空間、透過程式碼空間中的命令列、透過拉取請求操作或透過 Codespace 建立的提交。舊密鑰於 16 月 23 日失效,此後一直使用新密鑰。從 16 月 XNUMX 日開始,所有使用舊金鑰簽署的新提交都不會在 GitHub 上標記為已驗證。 XNUMX 月 XNUMX 日,用於加密透過 API 發送到 GitHub Actions、GitHub Codespaces 和 Dependabot 的用戶資料的公鑰也已更新。
除此之外 建議使用者使用這些 GitHub 擁有的公鑰來驗證本地提交 對傳輸中的資料進行加密,確保您已更新 GitHub GPG 金鑰,以便您的系統在金鑰變更後繼續運作。
最後,如果你是 有興趣了解更多關於它的信息, 您可以查看詳細信息 在下面的鏈接中。