GitHub สับเปลี่ยนคีย์หลังจากช่องโหว่ที่มีความรุนแรงสูงเปิดเผยข้อมูลประจำตัว
GitHub เผยว่าได้ทำการสับเปลี่ยนคีย์บางตัว เพื่อตอบสนองต่อช่องโหว่ด้านความปลอดภัยที่อาจถูกนำไปใช้ประโยชน์ เพื่อเข้าถึงข้อมูลประจำตัว โดยบริษัทในเครือของ Microsoft กล่าวว่าได้รับทราบปัญหาแล้วเมื่อวันที่ 26 ธันวาคม 2023 และได้แก้ไขปัญหาดังกล่าวในวันเดียวกัน นอกเหนือจากการหมุนเวียนข้อมูลรับรองที่อาจถูกเปิดเผยทั้งหมดโดยใช้ความระมัดระวังอย่างยิ่ง โดยคีย์ที่สับเปลี่ยนจะประกอบด้วยคีย์การลงนาม GitHub เช่นเดียวกับ GitHub Actions, GitHub Codespaces และคีย์การเข้ารหัสลูกค้า Dependabot
ไม่มีหลักฐานว่าช่องโหว่ที่มีความรุนแรงสูงที่ติดตามในชื่อ CVE-2024-0200 (คะแนน CVSS: 7.2) ได้ถูกค้นพบ และนำไปใช้ประโยชน์แล้วก่อนหน้านี้ อย่างไรก็ตาม การแสวงหาประโยชน์จำเป็นต้องมีผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ ซึ่งมีบทบาทเป็นเจ้าขององค์กร เพื่อเข้าสู่ระบบบัญชีบนอินสแตนซ์ GHES ซึ่งเป็นชุดสำคัญในการบรรเทาสถานการณ์ที่นำไปสู่การแสวงหาประโยชน์ที่อาจเกิดขึ้น
ในคำแนะนำที่แยกออกมา GitHub ระบุลักษณะช่องโหว่ว่าเป็นกรณีของ GHES การสะท้อนที่ไม่ปลอดภัย ซึ่งอาจนำไปสู่การแทรกการสะท้อน และการเรียกใช้โค้ดจากระยะไกล ได้รับการแก้ไขแล้วใน GHES เวอร์ชัน 3.8.13, 3.9.8, 3.10.5 และ 3.11.3 นอกจากนี้ GitHub ยังแก้ไขช่องโหว่ที่มีความรุนแรงสูงอีกรายการหนึ่งที่ติดตามในชื่อ CVE-2024-0507 (คะแนน CVSS: 6.5) ซึ่งอาจอนุญาตให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงบัญชีผู้ใช้ Management Console ที่มีบทบาทผู้แก้ไข เพื่อเพิ่มสิทธิ์ผ่านการแทรกคำสั่ง
การพัฒนานี้เกิดขึ้นเกือบหนึ่งปีหลังจากที่บริษัทได้ดำเนินการเปลี่ยนรหัสโฮสต์ RSA SSH ที่ใช้ในการรักษาความปลอดภัยการดำเนินงาน Git โดยใช้ความระมัดระวังอย่างมากหลังจากที่เปิดเผยในช่วงสั้น ๆ ในพื้นที่เก็บข้อมูลสาธารณะ