В GitHub приняли решение о смене ключей шифрования после обнаружения уязвимости, которая могла позволить злоумышленникам похитить учетные данные пользователей популярной платформы.
В компании, принадлежащей Microsoft, заявили, что впервые стало известно об этой серьезной ошибке безопасности 26 декабря 2023 года. Она получила условное обозначение CVE-2024-0200. После расследования проблемы в GitHub в тот же день оперативно изменили потенциально уязвимые ключи в качестве меры предосторожности.
Измененные данные включают ключ подписи фиксации GitHub вместе с ключами шифрования клиента для конфиденциальных сервисов, таких как GitHub Actions, GitHub Codespaces и Dependabot. Пользователям необходимо импортировать вновь созданные ключи, чтобы избежать потенциальных сбоев. Запись должна быть зарегистрирована в целевом экземпляре корпоративного сервера GitHub Enterprise Server.
Помимо смены ключей, на этой неделе в компании устранили еще одну уязвимость с высокой степенью вредоносности. Ее наличие могло привести к повышению привилегий. Ошибка при внедрении вредоносного кода, отслеживаемая как CVE-2024-0507, затронула только пользователей консоли управления корпоративным сервером GitHub с правами роли редактора.