GitHub ротирует учетные данные после обнаружения уязвимости

Компания GitHub заменила ключи шифрования после обнаружения уязвимости, которая могла позволить угрожающим лицам украсть учетные данные, сообщила компания во вторник.

Компания, принадлежащая Microsoft, заявила, что впервые узнала о дефекте безопасности высокой степени серьезности, отслеживаемом как CVE-2024-0200, 26 декабря 2023 года. Изучив проблему и убедившись в отсутствии доказательств ее использования в атаках, GitHub в тот же день в качестве меры предосторожности произвел ротацию потенциально уязвимых ключей.

В число ротированных ключей входит ключ подписи коммитов GitHub, а также ключи шифрования клиентов, используемые для таких важных сервисов, как GitHub Actions, GitHub Codespaces и Dependabot. Пользователям, полагающимся на эти ключи, придется импортировать вновь сгенерированные, чтобы избежать потенциальных сбоев.

По словам главы отдела безопасности GitHub Джейкоба Деприста (Jacob DePriest), хотя уязвимость и вызывает опасения, она смягчается тем, что злоумышленнику необходимо иметь аутентифицированную учетную запись пользователя с правами владельца организации, вошедшего в целевой экземпляр GitHub Enterprise Server.

Пока нет никаких доказательств того, что дефект был использован за пределами внутреннего тестирования.

По словам GitHub, "небезопасное отражение" в GitHub Enterprise Server может привести к инъекции отражения и, в конечном счете, к удаленному выполнению кода при определенных обстоятельствах. Проблема устранена в недавно выпущенных исправлениях версий 3.8.13, 3.9.8, 3.10.5 и 3.11.3.

Помимо вращающихся ключей, на этой неделе GitHub устранил еще одну уязвимость высокой степени серьезности, которая могла привести к повышению привилегий. Отслеживаемый как CVE-2024-0507, дефект инъекции команд затрагивал только пользователей GitHub Enterprise Server Management Console с привилегиями роли редактора.