The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения

17.01.2024 13:45

GitHub раскрыл сведения об уязвимости, позволяющей получить доступ к содержимому переменных окружений, выставленных в контейнерах, применяемых в рабочей инфраструктуре. Уязвимость была выявлена участником программы Bug Bounty, претендующим на получение вознаграждения за поиск проблем с безопасностью. Проблема затрагивает как сервис GitHub.com, так и конфигурации GitHub Enterprise Server (GHES), выполняемые на системах пользователей.

Анализ логов и аудит инфраструктуры не выявил следов эксплуатации уязвимости в прошлом кроме активности исследователя, сообщившего о проблеме. Тем не менее, в инфраструктуре была инициирована замена всех ключей шифрования и учётных данных, которые могли быть потенциально скомпрометированы в случае эксплуатации уязвимости злоумышленником. Замена внутренних ключей привела к нарушению работы некоторых сервисов с 27 по 29 декабря. Администраторы GitHub попытались учесть допущенные ошибки при произведённом вчера обновлении ключей, затрагивающих клиентов.

Среди прочего был обновлён GPG-ключ, используемый для заверения цифровой подписью коммитов, создаваемых через web-редактор GitHub при принятии pull-запросов на сайте или через инструментарий Codespace. Старый ключ прекратил своё действие 16 января в 23 часа по московскому времени, и вместо него со вчерашнего дня применяется новый ключ. Начиная с 23 января все новые коммиты, подписанные прошлым ключом, не будут помечены на сайте GitHub как верифицированные.

16 января также обновлены открытые ключи, используемые для шифрования пользователем данных, отправляемых через API в GitHub Actions, GitHub Codespaces и Dependabot. Пользователям, применяющим для локальной проверки коммитов и шифрования передаваемых данных открытые ключи, принадлежащие GitHub, рекомендуется удостовериться, что они обновили GPG-ключи GitHub, и их системы продолжают функционировать после произведённой замены ключей.

Компания GitHub уже устранила уязвимость на сайте GitHub.com и выпустила обновление продукта GHES 3.8.13, 3.9.8, 3.10.5 и 3.11.3, в котором отмечено исправление CVE-2024-0200 (небезопасное использование отражений, приводящее к выполнению кода или контролируемых пользователем методов на стороне сервера). Атака на локальные установки GHES могла быть произведена при наличии у злоумышленника учётной записи с правами управления организацией (organization owner).

  1. Главная ссылка к новости (https://github.blog/2024-01-16...)
  2. OpenNews: Атака на инфраструктуру PyTorch, компрометирующая репозиторий и релизы
  3. OpenNews: GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий
  4. OpenNews: GitHub защитился от конкурирующих сервисов, запрещающих сравнительное тестирование
  5. OpenNews: Сбои в системах сборки из-за изменения контрольных сумм архивов в GitHub
  6. OpenNews: В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60448-github
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (5), 14:09, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Что опять руби виноват?
     
     
  • 2.28, Аноним (28), 00:25, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Все равно что предъявить вину молотка криворукому плотнику. Язык это всего лишь инструмент.
     
     
  • 3.30, Бывалый смузихлёб (?), 11:17, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Топор с надпиленным топорищем - тоже, вроде бы, топор
     

  • 1.6, Аноним (6), 14:27, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >Начиная с 23 января все новые коммиты, подписанные прошлым ключом, не будут помечены на сайте GitHub как верифицированные.
    >Замена внутренних ключей привела к нарушению работы некоторых сервисов с 27 по 29 декабря.

    Если ключ не скомпромитирован, то нафига его отзывать, нарушая функционирование. Если скомпромитирован, то почему такой поздней датой? Почему вообще подтверждённость выполненности коммита в веб-интерфейсе GitHub определяется подписью на коммите, а не наличием хэша коммита в множестве, хранимом на сервере GitHub и доступном для скачивания?

     
     
  • 2.12, Denis Fateyev (ok), 17:55, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Если ключ не скомпромитирован, то нафига его отзывать, нарушая функционирование.

    На всякий случай перестраховались? Чтобы потом не влияло, если активность позже всё-таки обнаружат (к тому времени, ключ будет отозван). Либо, в анонсе нам дали не всю информации. В целом, спорный момент.

    > Почему вообще подтверждённость выполненности коммита в веб-интерфейсе GitHub определяется подписью на коммите, а не наличием хэша коммита в множестве, хранимом на сервере GitHub и доступном для скачивания?

    Первичная сущность здесь git, а веб-инструменты только обвязка над ним. «Подтвержденность выполненности коммита» не определяется подписью в коммите (подписи может и не быть). Отдельно какую-то несовместимую с git-ом историю хэшей хранить нет смысла, если весь нужный функционал можно сделать средствами самого git.

     
     
  • 3.14, Аноньимъ (ok), 18:28, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Первичная сущность здесь git, а веб-инструменты только обвязка над ним.

    Ну это не верно в корне.
    Без этой обвязки гит это смешное скопление костылей никому кроме "кернел девелоперс" рассылающих патчи емейлами ненужное.

    В то-же время, поменяй гитхаб гиб на нечто иное, даже не очень совместимое - ничего не измениться, особо упоротые "громкие голоса" поноют и схавают, а энтерпрайзу вообще пофиг, лишь бы была двухкнопочная миграция.

     
     
  • 4.17, Аноним (5), 19:40, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чего же все меркуриалом не пользуются он же во всем лучше.
     
     
  • 5.20, User (??), 20:43, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот bitbucket поменял меркуриал на git - что, все пользователи разбежались? Проделает такой же кунштюк github - так же ничего не изменится. ВоЙены будут воевать, борцуны - бороцца, а индус-триальные погроммизды - погроммиздить.
     
  • 4.22, Denis Fateyev (ok), 20:47, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Без этой обвязки гит это смешное скопление костылей никому кроме "кернел девелоперс" рассылающих патчи емейлами ненужное.

    Обвязка дополняет git, и вообще опциональна. Она красивая, удобная и прочее — но быстро потеряет популярность, если убрать git.
    Думаю, практически проверять GitHub это не будет.

     
  • 3.18, Аноним (18), 19:51, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Первичная сущность здесь git, а веб-инструменты только обвязка над ним. «Подтвержденность выполненности коммита» не определяется подписью в коммите (подписи может и не быть).

    Отозванный ключ - это ключ, которым сам GitHub подписывал коммиты, когда они были сделаны в его веб-интерфейсе, как-бы подтверждая, что его сделал тот аккаунт, который написан в авторах коммита. Так можно было проверить историю локально: скачать ключ, и проверить. Но история связана цепочкой хэшей, и хэшируется в том числе подпись. Ключ был скомпрометирован - все подписи стали невалидными. А ведь кто-то мог на эту проверку полагаться в своих workflowах... А теперь полагаться не могут. Даже сам гитхаб не может. Если бы они просто насохраняли хэши тех коммитов, то не было бы проблемы.

     
     
  • 4.23, Denis Fateyev (ok), 21:26, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Начать с того, что такие ключи, сгенерированные самой платформой — лишь ограниченно полезны. Они не определяют автора коммита, а определяют пользователя сервиса (доверие в рамках одной платформы). Если человек идёт на другую платформу, то там ему генерируют другой ключ — кроссплатформенного доверия здесь нет, и вопросы по критичным воркфлоу и проверкам должны начинаться уже здесь.

    Хранить хэши коммитов отдельно не нужно: есть дата в коммите и дата отзыва ключа — всё, что позже, по воркфлоу декларируется невалидным. Понятно, что это неудобно и требует телодвижений. Но когда платформа произвольно генерирует ключи — то стоит ожидать, что и отзывает их она по своему усмотрению. Если нужно контролируемый воркфлоу — то ключ создаётся на своей стороне и используется при коммитах, в платформы вгружается публичная часть. Его можно отзывать контролируемо.

     
  • 3.19, scriptkiddis (?), 20:18, 17/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Либо, в анонсе нам дали не всю информации.

    Ты думаешь что тут есть часть инфлрмации правдивой. Мнда... как все пичально

     

  • 1.9, Аноним (9), 16:16, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PGP или GPG?
     
  • 1.13, Аноним (13), 18:12, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Пора вводить шестифакторную авторизацию.
     
  • 1.24, Аноним (24), 23:23, 17/01/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я один подумал, что ущербна сама идея централизованного храниния секретных ключей на GitHub?

    Ведь именно по этой причине появилась эта уязвимость...

     
     
  • 2.27, Аноним (28), 00:23, 18/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ущербны любые децентрализованные системы, а централизация и строгая вертикаль - путь к порядку и стабильности.
     
     
  • 3.29, Аноним (-), 06:51, 18/01/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру