- 9,321
- 18
- 8 Ноя 2022
Прошлогодняя утечка SSH-ключа вынудила компанию стать бдительнее.
Недавно GitHub Для просмотра ссылки Войдиили Зарегистрируйся уязвимость Для просмотра ссылки Войди или Зарегистрируйся в Enterprise Server, связанную с небезопасным отражением ( Unsafe Reflection ), которая позволяла злоумышленникам выполнять удалённый код на незащищённых серверах. Эта уязвимость давала доступ к переменным среды продакшн-контейнера, включая учётные данные, но для её эксплуатации требовалась аутентификация с ролью владельца организации с административным доступом.
Информация о данном недостатке безопасности впервые поступила 26 декабря 2023 года через программу Bug Bounty в GitHub. После получения отчёта компания оперативно устранила уязвимость и начала обновление всех потенциально скомпрометированных учётных данных. Вице-президент и заместитель главы отдела безопасности GitHub Джейкоб ДеПрист выразил высокую уверенность в том, что хакеры не успели воспользоваться брешью в корыстных целях.
В целях предосторожности GitHub также обновил ключи доступа. Большинство из них не требуют действий со стороны пользователей, однако тем, кто использует ключи подписи коммитов GitHub, а также ключи шифрования клиентов GitHub Actions, Codespaces и Dependabot, необходимо будет импортировать новые публичные ключи вручную. В целом, компания рекомендует регулярно обновлять публичные ключи через API для обеспечения безопасности и актуальности данных.
Кроме того, вчера GitHub Для просмотра ссылки Войдиили Зарегистрируйся ещё одну уязвимость в Enterprise Server ( Для просмотра ссылки Войди или Зарегистрируйся ), позволявшую пользователям с ролью редактора в Management Console повышать свои привилегии. Обновление доступно для Enterprise Server версий 3.8.13, 3.9.8, 3.10.5 и 3.11.3. Компания рекомендует не затягивать с установкой и применить патч сразу, как только появится такая возможность.
Недавно GitHub Для просмотра ссылки Войди
Информация о данном недостатке безопасности впервые поступила 26 декабря 2023 года через программу Bug Bounty в GitHub. После получения отчёта компания оперативно устранила уязвимость и начала обновление всех потенциально скомпрометированных учётных данных. Вице-президент и заместитель главы отдела безопасности GitHub Джейкоб ДеПрист выразил высокую уверенность в том, что хакеры не успели воспользоваться брешью в корыстных целях.
В целях предосторожности GitHub также обновил ключи доступа. Большинство из них не требуют действий со стороны пользователей, однако тем, кто использует ключи подписи коммитов GitHub, а также ключи шифрования клиентов GitHub Actions, Codespaces и Dependabot, необходимо будет импортировать новые публичные ключи вручную. В целом, компания рекомендует регулярно обновлять публичные ключи через API для обеспечения безопасности и актуальности данных.
Кроме того, вчера GitHub Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
