GitHub обнаружил, что изменил некоторые ключи в ответ на уязвимость в системе безопасности, которая потенциально может быть использована для получения доступа к учетным данным в производственном контейнере.
Дочерняя компания Microsoft заявила, что ей стало известно о проблеме 26 декабря 2023 года, и что она решила проблему в тот же день, в дополнение к замене всех потенциально уязвимых учетных данных из соображений предосторожности.
Измененные ключи включают ключ подписи фиксации на GitHub, а также действия GitHub, кодовые пространства GitHub и ключи шифрования клиента Dependabot, что требует от пользователей, которые полагаются на эти ключи, импортировать новые.
Нет доказательств того, что уязвимость высокой степени серьезности, отслеживаемая как CVE-2024-0200 (оценка CVSS: 7.2), ранее обнаруживалась и использовалась в открытом доступе.
"Эта уязвимость также присутствует на GitHub Enterprise Server (GHES)", - сказал Джейкоб Деприст из GitHub. "Однако для эксплуатации требуется, чтобы аутентифицированный пользователь с ролью владельца организации вошел в учетную запись на экземпляре GHES, что является значительным набором смягчающих обстоятельств для потенциального использования".
В отдельной рекомендации GitHub охарактеризовал уязвимость как случай "небезопасного отражения", который может привести к внедрению отражения и удаленному выполнению кода. Она была исправлена в версиях GHES 3.8.13, 3.9.8, 3.10.5 и 3.11.3.
GitHub также устраняет другую ошибку высокой степени серьезности, отслеживаемую как CVE-2024-0507 (оценка CVSS: 6.5), которая может позволить злоумышленнику, имеющему доступ к учетной записи пользователя консоли управления с ролью редактора, повысить привилегии путем внедрения команды.
Разработка началась почти через год после того, как компания заменила свой ключ хоста RSA SSH, используемый для защиты операций Git "из предосторожности" после того, как он был ненадолго выставлен в общедоступном репозитории.
Дочерняя компания Microsoft заявила, что ей стало известно о проблеме 26 декабря 2023 года, и что она решила проблему в тот же день, в дополнение к замене всех потенциально уязвимых учетных данных из соображений предосторожности.
Измененные ключи включают ключ подписи фиксации на GitHub, а также действия GitHub, кодовые пространства GitHub и ключи шифрования клиента Dependabot, что требует от пользователей, которые полагаются на эти ключи, импортировать новые.
Нет доказательств того, что уязвимость высокой степени серьезности, отслеживаемая как CVE-2024-0200 (оценка CVSS: 7.2), ранее обнаруживалась и использовалась в открытом доступе.
"Эта уязвимость также присутствует на GitHub Enterprise Server (GHES)", - сказал Джейкоб Деприст из GitHub. "Однако для эксплуатации требуется, чтобы аутентифицированный пользователь с ролью владельца организации вошел в учетную запись на экземпляре GHES, что является значительным набором смягчающих обстоятельств для потенциального использования".
В отдельной рекомендации GitHub охарактеризовал уязвимость как случай "небезопасного отражения", который может привести к внедрению отражения и удаленному выполнению кода. Она была исправлена в версиях GHES 3.8.13, 3.9.8, 3.10.5 и 3.11.3.
GitHub также устраняет другую ошибку высокой степени серьезности, отслеживаемую как CVE-2024-0507 (оценка CVSS: 6.5), которая может позволить злоумышленнику, имеющему доступ к учетной записи пользователя консоли управления с ролью редактора, повысить привилегии путем внедрения команды.
Разработка началась почти через год после того, как компания заменила свой ключ хоста RSA SSH, используемый для защиты операций Git "из предосторожности" после того, как он был ненадолго выставлен в общедоступном репозитории.
