GitHub, bir üretim konteynerindeki kimlik bilgilerine erişim kazanmak için potansiyel olarak istismar edilebilecek bir güvenlik açığına yanıt olarak bazı anahtarları rotasyona tabi tuttuğunu açıkladı.
Microsoft’un sahibi olduğu yan kuruluş, 26 Aralık 2023’te sorundan haberdar edildiğini ve aynı gün içinde sorunu ele aldığını, ayrıca potansiyel olarak açığa çıkan tüm kimlik bilgilerini çok dikkatli bir şekilde geri çevirdiğini söyledi.
Döndürülmüş anahtarlar, GitHub taahhüt imzalama anahtarının yanı sıra GitHub Eylemleri, GitHub Kod Alanları ve Dependabot müşteri şifreleme anahtarlarını içerir ve bu anahtarlara güvenen kullanıcıların yenilerini içe aktarmasını gerektirir.
CVE-2024-0200 (CVSS puanı: 7,2) olarak takip edilen yüksek önemdeki güvenlik açığının daha önce doğada bulunduğuna ve istismar edildiğine dair hiçbir kanıt yok.
GitHub’dan Jacob DePriest, “Bu güvenlik açığı GitHub Enterprise Server’da (GHES) da mevcut” dedi. “Ancak, istismar, kuruluş sahibi rolüne sahip kimliği doğrulanmış bir kullanıcının GHES örneğindeki bir hesaba giriş yapmasını gerektirir; bu da potansiyel istismara karşı önemli bir hafifletici koşullar dizisidir.”
GitHub, ayrı bir tavsiye belgesinde güvenlik açığını, yansıma enjeksiyonuna ve uzaktan kod yürütülmesine yol açabilecek “güvenli olmayan yansıma” GHES durumu olarak nitelendirdi. GHES 3.8.13, 3.9.8, 3.10.5 ve 3.11.3 sürümlerinde yamalanmıştır.
CVE-2024-0507 (CVSS puanı: 6,5) olarak takip edilen başka bir yüksek önem dereceli hata da GitHub tarafından ele alındı; bu hata, editör rolüne sahip bir Yönetim Konsolu kullanıcı hesabına erişimi olan bir saldırganın komut ekleme yoluyla ayrıcalıkları artırmasına izin verebilir.
Bu gelişme, şirketin Git operasyonlarını güvence altına almak için kullanılan RSA SSH ana bilgisayar anahtarını “çok ihtiyatlı bir şekilde” halka açık bir depoda kısa süreliğine açığa çıktıktan sonra değiştirme adımını atmasından yaklaşık bir yıl sonra gerçekleşti.