Прошлогодняя утечка SSH-ключа вынудила компанию стать бдительнее.
Недавно GitHub исправил уязвимость CVE-2024-0200 в Enterprise Server, связанную с небезопасным отражением (Unsafe Reflection), которая позволяла злоумышленникам выполнять удалённый код на незащищённых серверах. Эта уязвимость давала доступ к переменным среды продакшн-контейнера, включая учётные данные, но для её эксплуатации требовалась аутентификация с ролью владельца организации с административным доступом.
Информация о данном недостатке безопасности впервые поступила 26 декабря 2023 года через программу Bug Bounty в GitHub. После получения отчёта компания оперативно устранила уязвимость и начала обновление всех потенциально скомпрометированных учётных данных. Вице-президент и заместитель главы отдела безопасности GitHub Джейкоб ДеПрист выразил высокую уверенность в том, что хакеры не успели воспользоваться брешью в корыстных целях.
В целях предосторожности GitHub также обновил ключи доступа. Большинство из них не требуют действий со стороны пользователей, однако тем, кто использует ключи подписи коммитов GitHub, а также ключи шифрования клиентов GitHub Actions, Codespaces и Dependabot, необходимо будет импортировать новые публичные ключи вручную. В целом, компания рекомендует регулярно обновлять публичные ключи через API для обеспечения безопасности и актуальности данных.
Кроме того, вчера GitHub также исправил ещё одну уязвимость в Enterprise Server ( CVE-2024-0507 ), позволявшую пользователям с ролью редактора в Management Console повышать свои привилегии. Обновление доступно для Enterprise Server версий 3.8.13, 3.9.8, 3.10.5 и 3.11.3. Компания рекомендует не затягивать с установкой и применить патч сразу, как только появится такая возможность.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале