GitHub ha revelado que ha rotado algunas claves en respuesta a una vulnerabilidad de seguridad que podría explotarse para obtener acceso a las credenciales dentro de un contenedor de producción.
La filial propiedad de Microsoft dijo que se enteró del problema el 26 de diciembre de 2023 y que abordó el problema el mismo día, además de rotar todas las credenciales potencialmente expuestas por precaución.
Las claves rotadas incluyen la clave de firma de confirmación de GitHub, así como las claves de cifrado de cliente de GitHub Actions, GitHub Codespaces y Dependabot, lo que requiere que los usuarios que dependen de estas claves importen las nuevas.
No hay evidencia de que la vulnerabilidad de alta gravedad rastreada como CVE-2024-0200 (Puntuación CVSS: 7,2), ha sido encontrada y explotada previamente en la naturaleza.
«Esta vulnerabilidad también está presente en GitHub Enterprise Server (GHES)», Jacob DePriest de GitHub dicho. «Sin embargo, la explotación requiere un usuario autenticado con una rol de propietario de la organización iniciar sesión en una cuenta en la instancia de GHES, que es un conjunto importante de circunstancias atenuantes para una posible explotación».
en un aviso separado, GitHub caracterizó la vulnerabilidad como un caso de GHES de «reflexión insegura» que podría conducir a la inyección de reflexión y la ejecución remota de código. Se ha parcheado en las versiones 3.8.13, 3.9.8, 3.10.5 y 3.11.3 de GHES.
GitHub también solucionó otro error de alta gravedad rastreado como CVE-2024-0507 (Puntuación CVSS: 6,5), lo que podría permitir a un atacante con acceso a una cuenta de usuario de Management Console con la función de editor escalar privilegios mediante la inyección de comandos.
El desarrollo se produce casi un año después de que la empresa diera el paso de reemplazando su clave de host RSA SSH utilizado para proteger las operaciones de Git «por precaución» después de haber sido expuesto brevemente en un repositorio público.