{"id":1138682,"date":"2024-01-17T08:14:22","date_gmt":"2024-01-17T08:14:22","guid":{"rendered":"https:\/\/teknomers.com\/es\/github-rota-claves-despues-de-que-una-vulnerabilidad-de-alta-gravedad-exponga-las-credenciales\/"},"modified":"2024-01-17T08:14:26","modified_gmt":"2024-01-17T08:14:26","slug":"github-rota-claves-despues-de-que-una-vulnerabilidad-de-alta-gravedad-exponga-las-credenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/github-rota-claves-despues-de-que-una-vulnerabilidad-de-alta-gravedad-exponga-las-credenciales\/","title":{"rendered":"GitHub rota claves despu\u00e9s de que una vulnerabilidad de alta gravedad exponga las credenciales"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Vulnerabilidad\/Seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

GitHub ha revelado que ha rotado algunas claves en respuesta a una vulnerabilidad de seguridad que podr\u00eda explotarse para obtener acceso a las credenciales dentro de un contenedor de producci\u00f3n.<\/p>\n

La filial propiedad de Microsoft dijo que se enter\u00f3 del problema el 26 de diciembre de 2023 y que abord\u00f3 el problema el mismo d\u00eda, adem\u00e1s de rotar todas las credenciales potencialmente expuestas por precauci\u00f3n.<\/p>\n

Las claves rotadas incluyen la clave de firma de confirmaci\u00f3n de GitHub, as\u00ed como las claves de cifrado de cliente de GitHub Actions, GitHub Codespaces y Dependabot, lo que requiere que los usuarios que dependen de estas claves importen las nuevas.<\/p>\n

\"La<\/a><\/center><\/div>\n

No hay evidencia de que la vulnerabilidad de alta gravedad rastreada como CVE-2024-0200<\/a> (Puntuaci\u00f3n CVSS: 7,2), ha sido encontrada y explotada previamente en la naturaleza.<\/p>\n

“Esta vulnerabilidad tambi\u00e9n est\u00e1 presente en GitHub Enterprise Server (GHES)”, Jacob DePriest de GitHub dicho<\/a>. “Sin embargo, la explotaci\u00f3n requiere un usuario autenticado con una rol de propietario de la organizaci\u00f3n<\/a> iniciar sesi\u00f3n en una cuenta en la instancia de GHES, que es un conjunto importante de circunstancias atenuantes para una posible explotaci\u00f3n”.<\/p>\n

en un aviso separado<\/a>, GitHub caracteriz\u00f3 la vulnerabilidad como un caso de GHES de “reflexi\u00f3n insegura” que podr\u00eda conducir a la inyecci\u00f3n de reflexi\u00f3n y la ejecuci\u00f3n remota de c\u00f3digo. Se ha parcheado en las versiones 3.8.13, 3.9.8, 3.10.5 y 3.11.3 de GHES.<\/p>\n

\"La<\/a><\/center><\/div>\n

GitHub tambi\u00e9n solucion\u00f3 otro error de alta gravedad rastreado como CVE-2024-0507<\/a> (Puntuaci\u00f3n CVSS: 6,5), lo que podr\u00eda permitir a un atacante con acceso a una cuenta de usuario de Management Console con la funci\u00f3n de editor escalar privilegios mediante la inyecci\u00f3n de comandos.<\/p>\n

El desarrollo se produce casi un a\u00f1o despu\u00e9s de que la compa\u00f1\u00eda tom\u00f3 la medida de reemplazar su clave de host RSA SSH utilizada para proteger las operaciones de Git “por precauci\u00f3n” despu\u00e9s de que estuvo brevemente expuesta en un repositorio p\u00fablico.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n