Bleeping Computer 網(wǎng)站披露，GitHub 輪換了 12 月份修補(bǔ)的漏洞可能泄露的密鑰，漏洞被追蹤為 CVE-2024-0200，不僅允許威脅攻擊者在未打補(bǔ)丁的服務(wù)器上遠(yuǎn)程執(zhí)行代碼，還支持威脅攻擊者訪問(wèn)生產(chǎn)容器的環(huán)境變量（包括憑據(jù)）。

近期，GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已經(jīng)對(duì) CVE-2024-0200 漏洞進(jìn)行了修補(bǔ)，GitHub 方面敦促所有客戶應(yīng)盡快安裝安全更新，以避免遭受網(wǎng)絡(luò)安全威脅。

值得一提的是，針對(duì) CVE-2024-0200 漏洞的利用可能稍微有點(diǎn)復(fù)雜并，如果想要成功利用漏洞，威脅攻擊者需要使用組織所有者角色（具有組織的管理員訪問(wèn)權(quán)限）進(jìn)行身份驗(yàn)證。

Github 副總裁兼副首席安全官 Jacob DePriest 表示，2023 年 12 月 26 日，GitHub 通過(guò) Bug 賞金計(jì)劃收到一份安全報(bào)告，其中顯示了一個(gè)安全漏洞，如果一旦成功利用該漏洞，便可以輕松訪問(wèn)生產(chǎn)容器中的憑據(jù)。事發(fā)當(dāng)天，公司就組織了安全研究人員在 GitHub.com 上修復(fù)了漏洞，并開(kāi)始輪換所有可能暴露的憑證。

在進(jìn)行了全面調(diào)查后，根據(jù)漏洞問(wèn)題的獨(dú)特性以及對(duì)內(nèi)部的遙測(cè)和日志記錄的分析，公司研究人員有信心地認(rèn)為 CVE-2024-0200  漏洞沒(méi)有被威脅攻擊者發(fā)現(xiàn)和利用過(guò)。DePriest 還強(qiáng)調(diào)，根據(jù)安全程序且出于謹(jǐn)慎考慮，公司對(duì)憑證進(jìn)行了輪換，并強(qiáng)烈建議用戶定期從 API 中提取公鑰，以確保使用的是來(lái)自 GitHub 的最新數(shù)據(jù)。

此外，盡管 GitHub 在 12 月份輪換的大部分密鑰無(wú)需客戶自行操作，但那些使用 GitHub 提交簽名密鑰和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客戶加密密鑰的用戶需要導(dǎo)入新的公鑰。

近期，GitHub 似乎很不”健康“，接連爆出多個(gè)安全漏洞。前段時(shí)間，GitHub 方面修復(fù)了一個(gè)高嚴(yán)重性企業(yè)服務(wù)器命令注入漏洞（CVE-2024-0507），該漏洞允許威脅攻擊者使用具有編輯器角色的管理控制臺(tái)用戶賬戶提升權(quán)限。

2023 年 3 月，GitHub.com 的私人 SSH 密鑰意外地通過(guò) GitHub 公共倉(cāng)庫(kù) "短暫 "暴露了一段時(shí)間，影響了使用 RSA 通過(guò) SSH 進(jìn)行的 Git 操作，之后該公司也輪換了 GitHub.com 的私人 SSH 密鑰。

2022 年 12 月，威脅攻擊者在攻破 GitHub 公司的開(kāi)發(fā)和發(fā)布計(jì)劃存儲(chǔ)庫(kù)后，竊取了大量敏感數(shù)據(jù)，迫使GitHub 不得不撤銷其 Desktop 和 Atom 應(yīng)用程序的代碼簽名證書。

參考文章：https://www.bleepingcomputer.com/news/security/github-rotates-keys-to-mitigate-impact-of-credential-exposing-flaw/