GitHub провел ротацию ключей после возможной компрометации учетных данных

GitHub провел ротацию ключей после возможной компрометации учетных данных

GitHub провел ротацию ключей после возможной компрометации учетных данных

Команда GitHub уведомила владельцев проектов о ротации ключей в качестве ответной меры на возможную эксплуатацию уязвимости, позволяющей добраться до учетных данных.

В GitHub отметили, что получили информацию о проблеме 26 декабря 2023 года. В тот же день специалисты приняли меры и на всякий случай провели ротацию всех потенциально затронутых учетных данных.

Под это дело попали ключи для подписи GitHub-коммитов, а также ключи шифрования GitHub Actions, GitHub Codespaces и Dependabot.

Речь идет об уязвимости CVE-2024-0200, которой дали 7,2 балла по шкале CVSS. Ранее эксперты сообщали об эксплуатации этой бреши в реальных атаках.

«Эта уязвимость также затрагивает GitHub Enterprise Server (GHES). Для успешного использования аутентифицированному пользователю потребуются роль главы организации», — пишут представители GitHub.

В дополнительном разборе компания уточнила, что CVE-2024-0200 может привести к удаленному выполнению кода. Ее пропатчили в версиях GHES под номерами 3.8.13, 3.9.8, 3.10.5 и 3.11.3.