为减轻漏洞带来的影响，GitHub开始轮换密钥

GitHub 轮换了可能由一个漏洞暴露的密钥，该漏洞于 12 月修补，该漏洞可能允许攻击者通过环境变量访问生产容器中的凭据。

此不安全反射漏洞（跟踪为 CVE-2024-0200）可允许攻击者在未修补的服务器上远程执行代码。

周二，GitHub Enterprise Server（GHES）版本3.8.13、3.9.8、3.10.5和3.11.3也对其进行了修补，该公司敦促所有客户尽快安装安全更新。

虽然允许威胁参与者访问生产容器的环境变量（包括凭据），但要成功利用，需要使用组织所有者角色（具有对组织的管理员访问权限）进行身份验证。

“2023 年 12 月 26 日，GitHub 通过我们的漏洞赏金计划收到一份报告，展示了一个漏洞，如果被利用，将允许访问生产容器中的凭据。我们在同一天 GitHub.com 修复了这个漏洞，并开始轮换所有可能暴露的凭据，“Github副总裁兼副首席安全官Jacob DePriest说。

“在进行全面调查后，我们根据此问题的独特性以及对遥测和日志记录的分析，非常有信心地评估此漏洞以前未被发现和利用。

虽然组织所有者角色要求是一个重要的缓解因素，并且漏洞的影响仅限于通过 GitHub 的漏洞赏金计划发现并报告问题的研究人员，但 DePriest 表示，凭据仍然根据安全程序轮换，并且“出于谨慎考虑”。

尽管 GitHub 在 12 月轮换的大多数密钥不需要客户操作，但使用 GitHub 的提交签名密钥和 GitHub Actions、GitHub Codespaces 和 Dependabot 客户加密密钥的用户必须导入新的公钥。

“我们强烈建议定期从 API 中提取公钥，以确保您使用的是来自 GitHub 的最新数据。这也将允许在未来无缝采用新密钥，“DePriest说。

GitHub 还修复了第二个高严重性 Enterprise Server 命令注入漏洞 （CVE-2024-0507），该漏洞允许使用具有编辑者角色的管理控制台用户帐户的攻击者提升权限。这并不是该公司在过去一年中第一次不得不轮换或撤销暴露或被盗的秘密。

例如，去年 3 月，它还轮换了其 GitHub.com SSH 私钥，因为它意外地通过公共 GitHub 存储库“短暂”暴露，影响了使用 RSA 通过 SSH 的 Git 操作。

该事件发生在该公司开始对所有公共存储库进行机密扫描的几周后，由于它支持 API 密钥、帐户密码、身份验证令牌和其他机密数据警报，因此应该捕获暴露的密钥。

几个月前，GitHub 还不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书，因为未知攻击者在 2022 年 12 月破坏了该公司的开发和发布计划存储库后窃取了这些证书。