GitHub hat bekannt gegeben, dass es aufgrund einer Sicherheitslücke einige Schlüssel ausgetauscht hat, die potenziell ausgenutzt werden könnten, um Zugriff auf Anmeldeinformationen in einem Produktionscontainer zu erlangen.
Das Tochterunternehmen von Microsoft gab bekannt, dass es am 26. Dezember 2023 von dem Problem erfahren habe und noch am selben Tag Maßnahmen ergriffen habe, um alle potenziell betroffenen Anmeldeinformationen aus Vorsichtsgründen auszutauschen.
Die ausgetauschten Schlüssel umfassen den GitHub Commit-Signaturschlüssel sowie die Verschlüsselungsschlüssel für GitHub Actions, GitHub Codespaces und Dependabot-Kunden, was bedeutet, dass Benutzer, die auf diese Schlüssel angewiesen sind, die neuen importieren müssen.
Es gibt keine Hinweise darauf, dass die als ${match} (CVSS Score: 7,2) verfolgbare Sicherheitslücke mit hoher Schwere zuvor entdeckt und ausgenutzt wurde.
„Diese Sicherheitslücke ist auch in der GitHub Enterprise Server (GHES) vorhanden“, sagt Jacob DePriest von GitHub. „Eine Ausnutzung erfordert jedoch, dass ein authentifizierter Benutzer mit der Rolle eines Organisationsbesitzers in einem Konto in der GHES-Instanz angemeldet ist, was eine signifikante Menge an mildernden Umständen für eine potenzielle Ausnutzung darstellt.“
In einer separaten Mitteilung bezeichnet GitHub die Sicherheitslücke als Fall von „unsicherer Reflexion“ in GHES, die zu Reflexionsinjektion und entfernter Codeausführung führen könnte. Sie wurde in den Versionen 3.8.13, 3.9.8, 3.10.5 und 3.11.3 von GHES gepatcht.
GitHub hat auch einen weiteren Fehler mit hoher Schwere behoben, der als ${match} (CVSS Score: 6,5) verfolgt wird. Dieser könnte es einem Angreifer ermöglichen, über eine Benutzerkonto mit Editor-Rolle in der Management Console Berechtigungen mittels Befehlseinschleusung zu eskalieren.