GitHub ha rotado las claves de cifrado tras el descubrimiento de una vulnerabilidad que podría haber permitido a los actores de amenazas robar credenciales, la empresa reveló Martes.
La empresa propiedad de Microsoft dijo que se dio cuenta por primera vez de la falla de seguridad de alta gravedad rastreada como CVE-2024-0200 el 26 de diciembre de 2023. Después de investigar el problema y verificar que no había evidencia de que hubiera sido explotado en ataques, GitHub actuó rápidamente para rotar las claves potencialmente expuestas el mismo día como medida de precaución.
Las claves rotadas incluyen la clave de firma de confirmación de GitHub junto con las claves de cifrado del cliente utilizadas para servicios confidenciales como GitHub Actions, GitHub Codespaces y Dependabot. Los usuarios que dependen de estas claves deberán importar las recién generadas para evitar posibles interrupciones.
Si bien es preocupante, la vulnerabilidad se ve mitigada por la necesidad de que un atacante tenga una cuenta de usuario autenticada con privilegios de propietario de la organización registrada en la instancia de GitHub Enterprise Server objetivo, según el jefe de seguridad de GitHub, Jacob DePriest.
Hasta el momento no hay evidencia de que la falla haya sido explotada fuera de las pruebas internas.
GitHub dicho Una “reflexión insegura” en GitHub Enterprise Server podría provocar una inyección de reflexión y, en última instancia, permitir la ejecución remota de código en determinadas circunstancias. El problema se solucionó en las versiones parcheadas 3.8.13, 3.9.8, 3.10.5 y 3.11.3 lanzadas recientemente.
Además de rotar claves, GitHub abordó otra vulnerabilidad de alta gravedad esta semana que podría haber permitido la elevación de privilegios. Seguimiento como CVE-2024-0507la falla de inyección de comandos solo afectó a los usuarios de GitHub Enterprise Server Management Console con privilegios de rol de editor.
(Foto por Farhan Azam en desempaquetar)
Ver también: El código abierto gana concesiones en la nueva ley cibernética de la UE
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Verificar Exposición de seguridad cibernética y nube que tendrá lugar en Ámsterdam, California y Londres. El evento integral comparte ubicación con Exposición de tecnología de IoT y Semana de la Transformación Digital.
Además, la próxima Conferencia sobre transformación de la nube es un evento virtual gratuito para que los líderes empresariales y tecnológicos exploren el panorama cambiante de la transformación de la nube. Reserva tu billete virtual gratis para explorar los aspectos prácticos y las oportunidades que rodean la adopción de la nube.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.