![GitHub, Yüksek Derecedeki Güvenlik Açığı Kimlik Bilgilerini Açığa Çıkardıktan Sonra Anahtarları Döndürüyor](https://kilalu.blog/news/2024-07-30-01:48/GitHub, Yüksek Derecedeki Güvenlik Açığı Kimlik Bilgilerini Açığa Çıkardıktan Sonra Anahtarları Döndürüyor.jpg)
17 Ocak 2024Haber odasıGüvenlik Açığı / Yazılım Güvenliği
GitHub, bir üretim konteynerindeki kimlik bilgilerine erişim kazanmak için potansiyel olarak istismar edilebilecek bir güvenlik açığına yanıt olarak bazı anahtarları değiştirdiğini açıkladı.
Microsoft’un sahibi olduğu yan kuruluş, 26 Aralık 2023’te sorundan haberdar edildiğini ve aynı gün içinde sorunu ele aldığını, ayrıca potansiyel olarak açığa çıkan tüm kimlik bilgilerini çok dikkatli bir şekilde geri çevirdiğini söyledi.
Döndürülmüş anahtarlar, GitHub taahhüt imzalama anahtarının yanı sıra GitHub Eylemleri, GitHub Kod Alanları ve Dependabot müşteri şifreleme anahtarlarını içerir ve bu anahtarlara güvenen kullanıcıların yenilerini içe aktarmasını gerektirir.
Yüksek önemdeki güvenlik açığının şu şekilde takip edildiğine dair hiçbir kanıt yok: CVE-2024-0200 (CVSS puanı: 7,2), daha önce vahşi doğada bulunmuş ve kullanılmıştı.
GitHub’dan Jacob DePriest, “Bu güvenlik açığı GitHub Enterprise Server’da (GHES) da mevcut” dedi. söz konusu. “Ancak, istismar için kimliği doğrulanmış bir kullanıcı gerekir. kuruluş sahibi rolü GHES örneğindeki bir hesaba giriş yapmak, bu da potansiyel istismara karşı önemli bir hafifletici koşullar kümesidir.”
İçinde ayrı danışmaGitHub, güvenlik açığını, yansıma enjeksiyonuna ve uzaktan kod yürütülmesine yol açabilecek “güvenli olmayan yansıma” GHES durumu olarak nitelendirdi. GHES 3.8.13, 3.9.8, 3.10.5 ve 3.11.3 sürümlerinde yamalanmıştır.
Ayrıca GitHub tarafından şu şekilde takip edilen başka bir yüksek önem dereceli hata da ele alınmıştır: CVE-2024-0507 (CVSS puanı: 6,5), düzenleyici rolüne sahip bir Yönetim Konsolu kullanıcı hesabına erişimi olan bir saldırganın, komut ekleme yoluyla ayrıcalıkları yükseltmesine izin verebilir.
Bu gelişme, şirketin Git operasyonlarını güvence altına almak için kullanılan RSA SSH ana bilgisayar anahtarını “çok ihtiyatlı bir şekilde” halka açık bir depoda kısa süreliğine açığa çıktıktan sonra değiştirme adımını atmasından yaklaşık bir yıl sonra gerçekleşti.
Popular Articles
- 12 Aug Yemenin başkenti Sanadan 7 yılın ardından Suudi Arabistana ilk uçak havalandı
- 14 Jul Pençe-3 Harekatında Kuzey Irakta Çatışma: 3 Asker Şehit, 7 Asker Yaralı
- 11 Aug Veteriner Korkusu Yaşayan Kedinin Ortalığı Savaş Alanına Çevirdiği Anlar
- 07 Aug Ak Partili Vekilden Bir Garip Protesto
- 13 Jul “Bir millet iki devlet şiarından hareketle çalışılıyor”
Latest Articles
- 17 Aug Lidl ve Aldi’nin Thermomix alternatifleri bunun için iyi
- 10 Aug IPhone ile Zil Sesi Nasıl Yapılır? - Resimli Anlatım
- 02 Aug Lansmanı Webrazzi Summitte yapılan Maxi 1,7 milyon kullanıcıya ulaştı
- 05 Aug Galaxy Ring 2’nin piyasaya sürülmesinden önceki günlerde, olası bir Galaxy Ring 2 görüldü
- 18 Jul Ankarada peş peşe FETÖ/PDY operasyonları: 14 şüpheli yakalandı