GitHub-ը լուսաբանեց, որ ի պատասխան շրջանառվող անվտանգության խոցելիությանը, որոշ key-եր է փոփոխել: Չարաշահվող խոցելիությունը կարող է կիրառվել production container-ի ներսում՝ հավատարմագրերին հասանելիություն ստանալու համար:
Microsoft-ին պատկանող ընկերության փոխանցմամբ, անվտանգության խնդրի մասին ստորաբաժաումներին փոխնցվել է 2023 թվականի դեկտեմբերի 26-ին և այդ խնդրին անդրադարձ է կատարվել հենց նույն օրը:
Չկա որևէ ապացույց, որ բարձր խոցելիությունը, որը որակվել է որպես՝ CVE-2024-0200 (CVSS կատալոգում գնահատման միավորը՝ 7.2), նախկինում հայտնաբերվել և շահագործվել է լայնածավալ թիրախներում:
«Այս նույն խոցելիությունը առկա է նաև GitHub Enterprise Server (GHES)-ի վրա», – նշում է GitHub-ի փորձագետ՝ Jacob DePriest-ը:
«Այնուամենայնիվ, շահագործման համար վավերացված օգտատերը պետք է կազմակերպության owner role-ի իրավունք ունենա և նոր կկարողանա մուտք ապահովել GHES օրինական օգտահաշիվ»:
Առանձին զեկույցում GitHub-ը խոցելիությունը բնութագրեց որպես «unsafe reflection»-ի GHES դեպք, որը կարող է հանգեցնել injection-ի և remote code-ի կատարման: Ներկայումս այն շտկվել է՝ GHES 3.8.13, 3.9.8, 3.10.5 և 3.11.3 տարբերակներում:
Բացահայտումների հիմնական մասը տեղի ունեցավ այն ժամանակ, երբ ընկերությունը որոշեց փոխել իր RSA SSH host key-ին, որն օգտագործվում էր Git-ի գործառնություններն ապահովելու համար:
Աղբյուրը՝ https://thehackernews.com/
