GitHub 轮换密钥,以减轻 CVE-2024-0200 漏洞带来的影响

安全
近期,GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补,GitHub 方面敦促所有客户应尽快安装安全更新,以避免遭受网络安全威胁。

Bleeping Computer 网站披露,GitHub 轮换了 12 月份修补的漏洞可能泄露的密钥,漏洞被追踪为 CVE-2024-0200,不仅允许威胁攻击者在未打补丁的服务器上远程执行代码,还支持威胁攻击者访问生产容器的环境变量(包括凭据)。

近期,GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补,GitHub 方面敦促所有客户应尽快安装安全更新,以避免遭受网络安全威胁。

值得一提的是,针对 CVE-2024-0200 漏洞的利用可能稍微有点复杂并,如果想要成功利用漏洞,威胁攻击者需要使用组织所有者角色(具有组织的管理员访问权限)进行身份验证。

Github 副总裁兼副首席安全官 Jacob DePriest 表示,2023 年 12 月 26 日,GitHub 通过 Bug 赏金计划收到一份安全报告,其中显示了一个安全漏洞,如果一旦成功利用该漏洞,便可以轻松访问生产容器中的凭据。事发当天,公司就组织了安全研究人员在 GitHub.com 上修复了漏洞,并开始轮换所有可能暴露的凭证。

在进行了全面调查后,根据漏洞问题的独特性以及对内部的遥测和日志记录的分析,公司研究人员有信心地认为 CVE-2024-0200  漏洞没有被威胁攻击者发现和利用过。DePriest 还强调,根据安全程序且出于谨慎考虑,公司对凭证进行了轮换,并强烈建议用户定期从 API 中提取公钥,以确保使用的是来自 GitHub 的最新数据。

此外,尽管 GitHub 在 12 月份轮换的大部分密钥无需客户自行操作,但那些使用 GitHub 提交签名密钥和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客户加密密钥的用户需要导入新的公钥。

近期,GitHub 似乎很不”健康“,接连爆出多个安全漏洞。前段时间,GitHub 方面修复了一个高严重性企业服务器命令注入漏洞(CVE-2024-0507),该漏洞允许威胁攻击者使用具有编辑器角色的管理控制台用户账户提升权限。

2023 年 3 月,GitHub.com 的私人 SSH 密钥意外地通过 GitHub 公共仓库 "短暂 "暴露了一段时间,影响了使用 RSA 通过 SSH 进行的 Git 操作,之后该公司也轮换了 GitHub.com 的私人 SSH 密钥。

2022 年 12 月,威胁攻击者在攻破 GitHub 公司的开发和发布计划存储库后,窃取了大量敏感数据,迫使GitHub 不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书。

参考文章:https://www.bleepingcomputer.com/news/security/github-rotates-keys-to-mitigate-impact-of-credential-exposing-flaw/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2020-07-15 10:35:25

漏洞攻击网络安全

2022-12-09 14:32:53

2020-12-11 11:18:43

MiTMKubernetes漏洞

2013-04-22 15:47:35

漏洞CVE-2013-00IE

2015-06-10 10:35:51

2021-12-23 11:03:25

Log4j 漏洞漏洞

2021-01-22 10:12:48

人工智能智慧城市公共健康

2022-08-09 13:35:26

勒索软件网络攻击

2018-02-23 10:07:04

2022-06-14 09:00:21

漏洞补丁

2022-09-07 09:27:31

漏洞CICD管道网络攻击

2024-05-29 14:43:34

2021-06-15 14:45:10

GitHubLinux漏洞

2021-02-09 10:31:04

漏洞webWordPress F

2009-06-16 22:03:08

云计算SaaS

2009-06-16 10:59:09

云计算 SaaS

2021-03-14 18:20:07

大数据数据管道偏见

2021-12-17 07:47:38

漏洞密钥Shiro

2021-12-06 09:31:12

漏洞安全攻击网络攻击

2022-02-10 11:52:10

Windows漏洞Windows 10
点赞
收藏

51CTO技术栈公众号