ClickCease GitHub-Sicherheitslücke: Schlüsselrotation inmitten einer hochgradigen Bedrohung

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

GitHub-Sicherheitslücke: Schlüsselrotation inmitten einer hochgradigen Bedrohung

Wajahat Raja

1. Februar 2024. TuxCare-Expertenteam

In jüngster Zeit hat GitHub, ein Tochterunternehmen von Microsoft, proaktive Maßnahmen ergriffen, um eine Sicherheitslücke zu schließen, die möglicherweise Anmeldedaten in Produktionscontainern offenlegt. In diesem Artikel analysieren wir die GitHub-Sicherheitslücke und beleuchten die Schlüsselrotationen und die Sicherheitslandschaft rund um dieses Problem.

Entdeckung einer GitHub-Schwachstelle und sofortige Maßnahmen

GitHub wurde am 26. Dezember 2023 auf die Sicherheitslücke aufmerksam und reagierte noch am selben Tag, um die Situation zu bereinigen. Als Vorsichtsmaßnahme rotierte das Unternehmen mehrere Schlüssel, darunter den GitHub Commit Signing Key, GitHub Actions, GitHub Codespaces und Dependabot-Kundenverschlüsselungsschlüssel.

Umfang der GitHub-Schwachstelle

Die identifizierte Schwachstelle, die als CVE-2024-0200 mit einem CVSS-Score von 7.2 gekennzeichnet ist, hat keine Anzeichen dafür gezeigt, dass sie in freier Wildbahn ausgenutzt wird. Jacob DePriest von GitHub stellte klar, dass die Schwachstelle zwar im GitHub Enterprise Server (GHES) vorhanden ist, ihre Ausnutzung jedoch einen authentifizierten Benutzer mit der Rolle eines Organisationseigentümers erfordert, der bei einem Konto auf der GHES-Instanz angemeldet ist. Dadurch wird das Potenzial für eine Ausnutzung deutlich verringert.

Abhilfemaßnahmen gegen Schwachstellen bei der Remote-Code-Ausführung

GitHub klassifiziert die Sicherheitslücke als einen Fall von "unsichere Reflexion" in GHES eingestuft, die möglicherweise zu Reflection Injection und Remote-Code-Ausführung. Code-Injektion ist ein kritisches Problem der Cybersicherheit, das sorgfältige Maßnahmen zur Prävention erfordert. Um dies zu verhindern, wurden Patches in folgenden Versionen veröffentlicht GHES-Versionen 3.8.13, 3.9.8, 3.10.5 und 3.11.3 veröffentlicht. Das Unternehmen hat eine proaktive Haltung eingenommen, um seine Systeme gegen mögliche Angriffe zu sichern.

Zusätzlich angesprochene Schwachstelle

Gleichzeitig mit den Schlüsselrotationen hat GitHub eine weitere Sicherheitslücke mit hohem Schweregradmit der Bezeichnung CVE-2024-0507 und einem CVSS-Score von 6.5. Diese Sicherheitsanfälligkeit könnte es einem Angreifer mit Zugriff auf ein Management-Konsolen-Benutzerkonto mit der Rolle Editor ermöglichen Privilegienerweiterung durch Befehlsinjektion.

Vorherige GitHub-Sicherheitsmaßnahmen

Die jüngsten Maßnahmen von GitHub spiegeln sein Engagement für die Sicherheit wider und erinnern an den Austausch des RSA SSH-Host-Schlüssels, der vor fast einem Jahr zur Sicherung des Git-Betriebs verwendet wurde. Die Entscheidung, den Schlüssel zu ersetzen, wurde getroffen "aus einem Übermaß an Vorsicht" nach einer kurzen Enthüllung von GitHub-Zugangsdaten in einem öffentlichen Repository.

Leitfaden für GitHub-Benutzer

GitHub hat eine Anleitung für Benutzer herausgegeben, insbesondere für diejenigen, die GitHub Codespaces mit aktivierter Commit-Signierung verwenden. Nutzer, die in diese Kategorie fallen und keine Commits gepusht haben, die vor 16. Januar aus dem Codespace in das GitHub-Repository übertragen haben, sollten dies bis zum 23. Januar tun. Andernfalls werden diese Commits nicht mehr als verifiziert markiert, es sei denn, sie werden zurückgenommen.

Wichtige Überlegungen

Benutzer, die sich auf GitHub Actions, GitHub Codespaces und Dependabot-Verschlüsselungsschlüssel angewiesen sind, werden dringend gebeten, die Rotationen zu beachten. Diejenigen, die die zugehörigen öffentlichen Schlüssel gecached oder hardcodiert haben, sollten die Schlüssel von der API abrufen, um sicherzustellen, dass sie die neuesten Versionen haben.

Kontinuierliche Wachsamkeit

GitHub unterstreicht die Bedeutung einer regelmäßigen Überprüfung von GitHub.com-Commits außerhalb der Plattform sowie von Patching von Schwachstellen. Benutzer, die Verifizierungen durchführen, einschließlich derer in GHES, werden aufgefordert, den neuen öffentlichen Schlüssel zu importieren, der von GitHub gehostet wird. Es wird empfohlen, den öffentlichen Schlüssel regelmäßig abzurufen, um die Verwendung der aktuellsten Daten von GitHub sicherzustellen und die nahtlose Übernahme neuer Schlüssel in der Zukunft zu erleichtern.

Schlussfolgerung

In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit unterstreichen Vorfälle wie diese die Bedeutung einer raschen Reaktion und bewährter Praktiken im Bereich der Cybersicherheit. Die prompte Aktion von GitHub, die Schlüssel zu rotieren und Schwachstellen zu beheben, ist ein Beispiel für das Engagement für die Sicherheit der Nutzer. Es ist wichtig, dass Unternehmen wachsam bleiben, um Einblicke in solche Entwicklungen zu erhalten und sicherzustellen, dass die Benutzer informiert und gut geschützt.

 

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und SecurityWeek.

Zusammenfassung
GitHub-Sicherheitslücke: Schlüsselrotation inmitten einer hochgradigen Bedrohung
Artikel Name
GitHub-Sicherheitslücke: Schlüsselrotation inmitten einer hochgradigen Bedrohung
Beschreibung
Informieren Sie sich über den neuesten Stand der GitHub-Schwachstellenbekämpfung und erfahren Sie, wie die Schlüsselrotation Schutzmaßnahmen gegen hochgefährliche Bedrohungen bietet.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter