GitHub, bir üretim konteynerindeki kimlik bilgilerine erişim kazanmak için potansiyel olarak istismar edilebilecek bir güvenlik açığına yanıt olarak bazı anahtarları değiştirdiğini açıkladı.
Microsoft’un sahibi olduğu yan kuruluş, 26 Aralık 2023’te sorundan haberdar edildiğini ve aynı gün içinde sorunu ele aldığını, ayrıca potansiyel olarak açığa çıkan tüm kimlik bilgilerini çok dikkatli bir şekilde geri çevirdiğini söyledi.
Döndürülmüş anahtarlar, GitHub taahhüt imzalama anahtarının yanı sıra GitHub Eylemleri, GitHub Kod Alanları ve Dependabot müşteri şifreleme anahtarlarını içerir ve bu anahtarlara güvenen kullanıcıların yenilerini içe aktarmasını gerektirir.
Yüksek önemdeki güvenlik açığının şu şekilde takip edildiğine dair hiçbir kanıt yok: CVE-2024-0200 (CVSS puanı: 7,2), daha önce vahşi doğada bulunmuş ve kullanılmıştı.
GitHub’dan Jacob DePriest, “Bu güvenlik açığı GitHub Enterprise Server’da (GHES) da mevcut” dedi. söz konusu. “Ancak, istismar için kimliği doğrulanmış bir kullanıcı gerekir. kuruluş sahibi rolü GHES örneğindeki bir hesaba giriş yapmak, bu da potansiyel istismara karşı önemli bir hafifletici koşullar kümesidir.”
İçinde ayrı danışmaGitHub, güvenlik açığını, yansıma enjeksiyonuna ve uzaktan kod yürütülmesine yol açabilecek “güvenli olmayan yansıma” GHES durumu olarak nitelendirdi. GHES 3.8.13, 3.9.8, 3.10.5 ve 3.11.3 sürümlerinde yamalanmıştır.
Ayrıca GitHub tarafından şu şekilde takip edilen başka bir yüksek önem dereceli hata da ele alınmıştır: CVE-2024-0507 (CVSS puanı: 6,5), düzenleyici rolüne sahip bir Yönetim Konsolu kullanıcı hesabına erişimi olan bir saldırganın, komut ekleme yoluyla ayrıcalıkları yükseltmesine izin verebilir.
Bu gelişme, şirketin Git operasyonlarını güvence altına almak için kullanılan RSA SSH ana bilgisayar anahtarını “çok ihtiyatlı bir şekilde” halka açık bir depoda kısa süreliğine açığa çıktıktan sonra değiştirme adımını atmasından yaklaşık bir yıl sonra gerçekleşti.