GitHub đã tiết lộ rằng họ đã xoay vòng một số khóa để đối phó với lỗ hổng bảo mật có khả năng bị khai thác để truy cập vào thông tin đăng nhập trong một container sản xuất.
Công ty con thuộc sở hữu của Microsoft cho biết họ đã nhận thức được vấn đề vào ngày 26/12/2023 và họ đã giải quyết vấn đề cùng ngày, ngoài việc luân chuyển tất cả các thông tin đăng nhập có khả năng bị lộ vì quá thận trọng.
Các khóa được xoay bao gồm khóa ký cam kết GitHub cũng như GitHub Actions, GitHub Codespaces và khóa mã hóa khách hàng Dependabot, yêu cầu người dùng dựa vào các khóa này để nhập khóa mới.
Không có bằng chứng nào cho thấy lỗ hổng nghiêm trọng cao, được theo dõi là CVE-2024-0200 (điểm CVSS: 7.2), trước đây đã được tìm thấy và khai thác trong tự nhiên.
"Lỗ hổng này cũng xuất hiện trên GitHub Enterprise Server (GHES)", Jacob DePriest của GitHub cho biết. "Tuy nhiên, việc khai thác yêu cầu người dùng được xác thực có vai trò chủ sở hữu tổ chức phải đăng nhập vào tài khoản trên phiên bản GHES, đây là một tập hợp các tình huống giảm thiểu đáng kể đối với việc khai thác tiềm năng."
Trong một tư vấn riêng biệt, GitHub đã mô tả lỗ hổng là một trường hợp GHES "phản ánh không an toàn" có thể dẫn đến tiêm phản xạ và thực thi mã từ xa. Nó đã được vá trong các phiên bản GHES 3.8.13, 3.9.8, 3.10.5 và 3.11.3.
Cũng được giải quyết bởi GitHub là một lỗi nghiêm trọng cao khác được theo dõi là CVE-2024-0507 (điểm CVSS: 6.5), có thể cho phép kẻ tấn công có quyền truy cập vào tài khoản người dùng Bảng điều khiển quản lý với vai trò biên tập viên để leo thang đặc quyền thông qua tiêm lệnh.
Sự phát triển này diễn ra gần một năm sau khi công ty thực hiện bước thay thế khóa máy chủ RSA SSH được sử dụng để bảo mật các hoạt động của Git "hết sức thận trọng" sau khi nó bị lộ trong một thời gian ngắn trong kho lưu trữ công khai.