GitHub a révélé avoir effectué une rotation de certaines clés en réponse à une vulnérabilité de sécurité qui pourrait être potentiellement exploitée pour accéder aux informations d’identification dans un conteneur de production.
La filiale appartenant à Microsoft a déclaré avoir été informée du problème le 26 décembre 2023 et avoir résolu le problème le même jour, en plus d’avoir alterné toutes les informations d’identification potentiellement exposées par prudence.
Les clés alternées incluent la clé de signature de validation GitHub ainsi que les clés de chiffrement client GitHub Actions, GitHub Codespaces et Dependabot, ce qui oblige les utilisateurs qui comptent sur ces clés à importer les nouvelles.
Il n’existe aucune preuve que la vulnérabilité de haute gravité, considérée comme CVE-2024-0200 (score CVSS : 7,2), a déjà été trouvé et exploité dans la nature.
« Cette vulnérabilité est également présente sur GitHub Enterprise Server (GHES) », Jacob DePriest de GitHub dit. « Cependant, l’exploitation nécessite un utilisateur authentifié avec un rôle de propriétaire de l’organisation être connecté à un compte sur l’instance GHES, ce qui constitue un ensemble important de circonstances atténuantes pour une exploitation potentielle.
Dans un avis séparé, GitHub a caractérisé la vulnérabilité comme un cas de « réflexion dangereuse » GHES pouvant conduire à une injection de réflexion et à l’exécution de code à distance. Il a été corrigé dans les versions GHES 3.8.13, 3.9.8, 3.10.5 et 3.11.3.
GitHub traite également un autre bug de haute gravité suivi comme CVE-2024-0507 (score CVSS : 6,5), ce qui pourrait permettre à un attaquant ayant accès à un compte utilisateur de la console de gestion avec le rôle d’éditeur d’élever ses privilèges via l’injection de commandes.
Ce développement intervient près d’un an après que la société a pris la décision de remplacer sa clé hôte RSA SSH utilisée pour sécuriser les opérations Git « par mesure de prudence » après qu’elle ait été brièvement exposée dans un référentiel public.