O GitHub revelou que rotacionou algumas chaves em resposta a uma vulnerabilidade de segurança que poderia ser potencialmente explorada para obter acesso a credenciais dentro de um container de produção.
A subsidiária da Microsoft disse que foi informada sobre o problema em 26 de dezembro de 2023 e que resolveu o problema no mesmo dia, além de rotacionar todas as credenciais potencialmente expostas por uma abundância de precaução.
As chaves rotacionadas incluem a chave de assinatura de commit do GitHub, bem como as Actions do GitHub, os Codespaces do GitHub e as chaves de criptografia do cliente Dependabot, o que exige que os usuários que dependem dessas chaves importem as novas.
Não há evidências de que a vulnerabilidade de alta gravidade, rastreada como
CVE-2024-0200
(pontuação CVSS: 7.2), tenha sido anteriormente encontrada e explorada na natureza.
"Esta vulnerabilidade também está presente no GitHub Enterprise Server (GHES)", disse Jacob DePriest do GitHub.
"No entanto, a exploração requer um usuário autenticado com uma função de proprietário de organização para estar logado em uma conta na instância do GHES, que é um conjunto significativo de circunstâncias atenuantes para exploração potencial."
Em um aviso separado, o GitHub caracterizou a vulnerabilidade como um caso de "reflexão insegura" no GHES que poderia levar à injeção de reflexão e execução remota de código.
Foi corrigido nas versões 3.8.13, 3.9.8, 3.10.5 e 3.11.3 do GHES.
O GitHub também abordou outro bug de alta gravidade rastreado como
CVE-2024-0507
(pontuação CVSS: 6.5), que poderia permitir a um atacante com acesso a uma conta de usuário do Console de Gerenciamento com a função de editor escalar privilégios por meio de injeção de comando.
Isso acontece quase um ano após a empresa substituir sua chave de host SSH RSA usada para garantir operações Git "por uma abundância de precaução" depois que foi brevemente exposta em um repositório público.
Achou este artigo interessante? Siga-nos no Twitter e no LinkedIn para ler mais conteúdos exclusivos que postamos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...