GitHub rota claves después de una vulnerabilidad de alta gravedad

Iniciado por AXCESS, Enero 17, 2024, 01:39:47 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 17, 2024, 01:39:47 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

GitHub ha revelado que ha rotado algunas claves en respuesta a una vulnerabilidad de seguridad que podría explotarse para obtener acceso a las credenciales.

La filial propiedad de Microsoft dijo que se enteró del problema el 26 de diciembre de 2023 y que abordó el problema el mismo día, además de rotar todas las credenciales potencialmente expuestas por precaución.

Las claves rotadas incluyen la clave de firma de confirmación de GitHub, así como las claves de cifrado de cliente de GitHub Actions, GitHub Codespaces y Dependabot, lo que requiere que los usuarios que dependen de estas claves importen las nuevas.

No hay evidencia de que la vulnerabilidad de alta gravedad, rastreada como CVE-2024-0200 (puntaje CVSS: 7.2), haya sido encontrada y explotada previamente.

"Esta vulnerabilidad también está presente en GitHub Enterprise Server (GHES)", dijo Jacob DePriest de GitHub. "Sin embargo, la explotación requiere que un usuario autenticado con un rol de propietario de la organización inicie sesión en una cuenta en la instancia de GHES, lo cual es un conjunto importante de circunstancias atenuantes para una posible explotación".

En un aviso separado, GitHub caracterizó la vulnerabilidad como un caso de GHES de "reflexión insegura" que podría conducir a la inyección de reflexión y la ejecución remota de código. Se ha parcheado en las versiones 3.8.13, 3.9.8, 3.10.5 y 3.11.3 de GHES.

GitHub también solucionó otro error de alta gravedad rastreado como CVE-2024-0507 (puntaje CVSS: 6.5), que podría permitir a un atacante con acceso a una cuenta de usuario de Management Console con la función de editor escalar privilegios mediante la inyección de comandos.

El desarrollo se produce casi un año después de que la compañía tomó la medida de reemplazar su clave de host RSA SSH utilizada para proteger las operaciones de Git "por precaución" después de que estuvo brevemente expuesta en un repositorio público.

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario