TRSecurity - GitHub, Yüksek Öncelikli Güvenlik Açığı Nedeniyle Kimlik Bilgilerinin Açığa Çıkması Sonrasında Anahtarlarını Değiştiriyor

GitHub, Yüksek Öncelikli Güvenlik Açığı Nedeniyle Kimlik Bilgilerinin Açığa Çıkması Sonrasında Anahtarlarını Değiştiriyor

GitHub, üretim konteyneri içindeki kimlik bilgilerine erişim sağlamak için potansiyel olarak kötüye kullanılabilecek bir güvenlik açığına yanıt olarak bazı anahtarları değiştirdiğini açıkladı.

Microsoft'a ait olan bu alt şirket, sorunu 26 Aralık 2023 tarihinde fark ettiğini ve aynı gün sorunu ele aldığını, ayrıca her ihtimale karşı potansiyel olarak maruz kalan tüm kimlik bilgilerini değiştirdiğini belirtti.

Değiştirilen anahtarlar arasında GitHub commit imza anahtarı ile GitHub Actions, GitHub Codespaces ve Dependabot müşteri şifreleme anahtarları bulunmaktadır; bu da bu anahtarları kullanan kullanıcıların yeni olanları içe aktarmalarını gerektirmektedir.

Cybersecurity
Yüksek öncelikli güvenlik açığı, CVE-2024-0200 (CVSS puanı: 7.2) olarak takip edilmektedir ve şu ana kadar bu açığın vahşi doğada bulunduğuna dair herhangi bir kanıt bulunmamaktadır.

GitHub'ın Jacob DePriest tarafından belirtildiği gibi, "Bu güvenlik açığı aynı zamanda GitHub Enterprise Server (GHES) üzerinde de bulunmaktadır. Ancak, potansiyel bir kötüye kullanım için önemli bir dizi hafifletici durum, GHES örneğine bağlı bir organizasyon sahibi rolüne sahip kimliği doğrulanan bir kullanıcının hesabına giriş yapmasını gerektirir."

Ayrı bir bildiride, GitHub, GHES'deki "güvensiz yansıma" durumu olarak tanımlanan ve yansıma enjeksiyonuna ve uzaktan kod yürütme olasılığına yol açabilen bir güvenlik açığı olan CVE-2024-0200'i ele aldı. Bu, GHES sürümlerinde 3.8.13, 3.9.8, 3.10.5 ve 3.11.3 sürümlerinde yamalandı.

Cybersecurity
GitHub tarafından ele alınan başka bir yüksek öncelikli hata da CVE-2024-0507 (CVSS puanı: 6.5) olarak takip edilmekte olup, bir Yönetim Konsolu kullanıcı hesabına erişimi olan bir saldırganın komut enjeksiyonu aracılığıyla ayrıcalıkları yükseltebilmesine izin verebilir.

Şirket, RSA SSH anahtarını bir süreliğine umursamazlık nedeniyle genel bir depoda kısa süreliğine açığa çıkmasının ardından "her ihtimale karşı" bu anahtarı değiştirme adımını atmasından neredeyse bir yıl sonra bu gelişmeyi açıkladı.

Etiket: #Vulnerability #SoftwareSecurity

Kategori: Vulnerability

Eklenme Tarihi: 17.01.2024

Safetica ile Verilerinizi korurken operasyonel verimliliği artırın

Etiket: #safetica

Kategori: safetica

Eklenme Tarihi: 19.01.2024