在发现漏洞后，GitHub 轮换了凭据

在GitHub通过其bug赏金计划意识到漏洞后，这家微软旗下的公司轮换了部分凭证。

该漏洞被跟踪为CVE-2024-0200（CVSS评分7.2），允许访问生产容器的环境变量，该公司确认所有受影响的凭据已被轮换。

公告中写道：“2023年12月26日，GitHub通过我们的漏洞赏金计划收到一份报告，报告显示存在一个漏洞，如果被利用，可以访问生产容器中的凭据。我们当天在GitHub.com上修复了该漏洞，并开始轮换所有可能暴露的凭据。”

该漏洞于2023年12月26日报告，该公司当天就解决了该漏洞。该公司调查了这一漏洞，并确信该漏洞此前未被发现和利用。证书的轮换非常谨慎。

公告继续说道：“12 月 27 日至 29 日，我们的生产系统中的凭证轮换导致了一系列服务中断。我们认识到这些中断对我们依赖 GitHub 的客户的影响，并改进了我们的凭证轮换程序，以降低未来意外停机的风险。”

该问题也影响企业服务器（GHES），但只影响已认证用户

GitHub Enterprise Server (GHES)上也存在此漏洞。但是，利用此漏洞的前提是具有组织所有者角色的经过身份验证的用户登录到GHES实例上的帐户。该公司在GHES版本3.8.13、3.9.8、3.10.5和3.11.3中解决了此问题。
客户使用旋转密钥加密GitHub操作、GitHub代码空间和可靠机密，然后通过API将其发送到GitHub以存储在产品中供后续使用。

原文始发于微信公众号（黑猫安全）：在发现漏洞后，GitHub 轮换了凭据