GitHub Enterprise Server frissítés
A GitHub megváltoztatta a decemberben javított sebezhetőség által potenciálisan kitett kulcsokat, ami lehetővé tette a támadók számára, hogy a környezeti változókon keresztül hozzáférjenek a konténerekben lévő hitelesítő adatokhoz. A sebezhetőség (CVE-2024-0200) lehetővé teheti a támadók számára, hogy távoli kódfuttatást érjenek el a nem javított szervereken.
A teljes körű vizsgálat lefuttatása után a probléma egyedisége, valamint a telemetriánk és az elemzések alapján nagy biztonsággal jelenti ki a GitHub, hogy ezt a sebezhetőséget korábban még nem találták meg és nem használták ki. Bár a szervezet tulajdonosi szerepkörének követelménye jelentős enyhítő tényező, és a sebezhetőség hatása a GitHub Bug Bounty programján keresztül a problémát megtaláló és bejelentő kutatóra korlátozódik, DePriest szerint a hitelesítő adatokat továbbra is a biztonsági eljárásoknak megfelelően és óvatosságból rotálták.
Bár a GitHub által decemberben rotált kulcsok többsége nem igényel ügyfélintézkedést, a GitHub commit aláíró kulcsát, valamint a GitHub Actions, GitHub Codespaces és Dependabot ügyféltitkosítási kulcsokat használóknak importálniuk kell az új nyilvános kulcsokat.