GitHub поменял ключи шифрования после обнаружения уязвимости, которая могла позволить злоумышленникам украсть учетные данные, сообщила компания во вторник.
Фирма, принадлежащая Microsoft, заявила, что впервые узнала о серьезной уязвимости безопасности, обозначенной как CVE-2024-0200, 26 декабря 2023 года. После исследования проблемы и проверки отсутствия доказательств того, что она использовалась в атаках, GitHub быстро перешел к в качестве меры предосторожности поменяйте потенциально незащищенные ключи в тот же день.
Ротируемые ключи включают ключ подписи фиксации GitHub, а также ключи шифрования клиента, используемые для конфиденциальных сервисов, таких как GitHub Actions, GitHub Codespaces и Dependabot. Пользователям, использующим эти ключи, необходимо будет импортировать вновь сгенерированные ключи, чтобы избежать возможных сбоев.
По словам главы службы безопасности GitHub Джейкоба ДеПриста, уязвимость смягчается необходимостью для злоумышленника иметь аутентифицированную учетную запись пользователя с привилегиями владельца организации, зарегистрированную на целевом экземпляре GitHub Enterprise Server.
Пока нет никаких доказательств того, что уязвимость была использована за пределами внутреннего тестирования.
GitHub заявил, что «небезопасное отражение» в GitHub Enterprise Server может привести к внедрению отражения и в конечном итоге сделать возможным удаленное выполнение кода при определенных обстоятельствах. Проблема исправлена в недавно выпущенных исправленных версиях 3.8.13, 3.9.8, 3.10.5 и 3.11.3.
Помимо ротации ключей, на этой неделе GitHub устранил еще одну серьезную уязвимость, которая могла привести к несанкционированному получению привилегий. Ошибка внедрения команд, получившая обозначение CVE-2024-0507, затронула только пользователей GitHub Enterprise Server Management Console с правами редактора.
(Фото Фархан Азам на Unsplash)
Смотрите также: Открытый исходный код получает уступки в новом киберзаконе ЕС
Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие проводится совместно с IoT Tech Expo и Неделей цифровой трансформации.
Узнайте о других предстоящих мероприятиях и вебинарах в области корпоративных технологий, проводимых TechForge, здесь.
Специальная подборка для Вас