ClickCease 깃허브 취약점: 심각도가 높은 위협에 따른 키 로테이션

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

깃허브 취약점: 심각도가 높은 위협에 따른 키 로테이션

와자핫 라자

2024년 2월 1일 TuxCare 전문가 팀

최근 Microsoft 소유의 자회사인 GitHub는 프로덕션 컨테이너 내에서 자격 증명을 노출할 수 있는 보안 취약점을 해결하기 위해 선제적인 조치를 취했습니다. 이 글에서는 다음과 같은 취약점을 분석합니다. 깃허브 취약점 사건을 분석하고, 이 문제를 둘러싼 키 교체와 보안 환경을 조명합니다.

GitHub 취약점 발견 및 즉각적인 조치

2023년 12월 26일에 취약점을 인지한 GitHub는 같은 날 신속하게 대응하여 상황을 바로잡았습니다. 예방 조치로 GitHub 커밋 서명 키, GitHub Actions, GitHub 코드스페이스, Dependabot 고객 암호화 키를 포함한 여러 키를 교체했습니다.

GitHub 취약점의 범위

CVSS 점수가 7.2이고 CVE-2024-0200으로 태그가 지정된 이 취약점은 아직까지 야생에서 악용될 조짐은 보이지 않고 있습니다. GitHub의 제이콥 드프리스트는 이 취약점이 GHES(GitHub Enterprise Server)에 존재하지만, 이를 악용하려면 조직 소유자 역할을 가진 인증된 사용자가 GHES 인스턴스의 계정에 로그인해야 한다고 설명했습니다. 이렇게 하면 익스플로잇 가능성이 상당히 완화됩니다.

원격 코드 실행 취약점에 대한 완화 조치

깃허브는 이 취약점을 다음과 같은 경우로 분류했습니다. "안전하지 않은 리플렉션" 잠재적으로 리플렉션 주입 및 원격 코드 실행으로 이어질 수 있는 원격 코드 실행. 코드 인젝션 은 예방을 위한 세심한 조치가 필요한 중대한 사이버 보안 문제입니다. 이 문제를 해결하기 위해 다음 버전에 패치가 릴리스되었습니다. GHES 버전 3.8.13, 3.9.8, 3.10.5, 3.11.3 버전에 패치를 배포했습니다. Dropbox는 가능한 익스플로잇으로부터 시스템을 보호하기 위해 선제적인 조치를 취하고 있습니다.

추가로 해결된 취약점

키 교체와 함께 GitHub는 또 다른 심각한 심각도가 높은 취약점CVE-2024-0507, CVSS 점수 6.5. 이 취약점은 편집자 역할의 관리 콘솔 사용자 계정에 액세스할 수 있는 공격자가 다음을 수행할 수 있도록 허용할 수 있습니다. 명령 인젝션을 통한 권한 상승.

이전 GitHub 보안 조치

GitHub의 최근 조치는 보안을 위한 노력을 반영하는 것으로, 거의 1년 전에 Git 작업 보안에 사용되는 RSA SSH 호스트 키를 교체한 것을 연상시킵니다. 키를 교체하기로 결정한 이유는 "충분한 주의를 기울여" 다음과 같은 간단한 GitHub 인증정보 노출 노출된 후 "충분한 주의를 기울여" 내린 결정이었습니다.

GitHub 사용자를 위한 안내

GitHub는 사용자, 특히 커밋 서명이 활성화된 GitHub 코드스페이스를 사용하는 사용자를 위한 지침을 발표했습니다. 이 범주에 속하는 사용자 중 이전에 만든 커밋을 푸시한 적이 없는 사용자는 다음과 같습니다. 1월 16일 을 코드스페이스에서 GitHub 리포지토리로 푸시하지 않은 사용자는 1월 23일까지 푸시하는 것이 좋습니다. 그렇게 하지 않으면 해당 커밋은 철회하지 않는 한 더 이상 커밋이 확인된 것으로 표시되지 않습니다.

주요 고려 사항

GitHub 액션, GitHub 코드스페이스 및 Dependabot 암호화 키 에 의존하는 사용자는 로테이션에 유의하시기 바랍니다. 관련 공개 키를 캐시하거나 하드코딩한 사용자는 API에서 키를 가져와서 최신 버전이 있는지 확인해야 합니다.

지속적인 경계

GitHub는 플랫폼 외부에서 GitHub.com 커밋을 정기적으로 검증하고 취약점 패치. GHES를 포함하여 검증을 수행하는 사용자는 GitHub에서 호스팅하는 새 공개키를 가져오는 것이 좋습니다. 정기적으로 공개키를 가져오는 것이 권장되는데, 이는 GitHub의 최신 데이터를 사용하여 향후 새 키를 원활하게 적용할 수 있도록 하기 위함입니다.

결론

끊임없이 진화하는 사이버 보안 환경에서 이와 같은 사건은 신속한 대응의 중요성과 사이버 보안 모범 사례. 키 교체와 취약점 해결을 위한 GitHub의 신속한 조치는 사용자 보안을 위한 노력을 보여주는 예입니다. 조직은 이러한 개발에 대한 인사이트를 얻기 위해 경계를 늦추지 않아야 하며, 사용자에게 최신 정보를 제공하고 잘 보호.

 

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스SecurityWeek.

요약
깃허브 취약점: 심각도가 높은 위협에 따른 키 로테이션
기사 이름
깃허브 취약점: 심각도가 높은 위협에 따른 키 로테이션
설명
GitHub 취약성 완화에 대한 최신 정보를 알아보고, 키 순환을 통해 심각도가 높은 위협으로부터 보호하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기