Bleeping Computer 網(wǎng)站披露，GitHub 輪換了 12 月份修補(bǔ)的漏洞可能泄露的密鑰，漏洞被追蹤為 CVE-2024-0200，不僅允許威脅攻擊者在未打補(bǔ)丁的服務(wù)器上遠(yuǎn)程執(zhí)行代碼，還支持威脅攻擊者訪問生產(chǎn)容器的環(huán)境變量（包括憑據(jù)）。

近期，GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已經(jīng)對 CVE-2024-0200 漏洞進(jìn)行了修補(bǔ)，GitHub 方面敦促所有客戶應(yīng)盡快安裝安全更新，以避免遭受網(wǎng)絡(luò)安全威脅。

值得一提的是，針對 CVE-2024-0200 漏洞的利用可能稍微有點復(fù)雜并，如果想要成功利用漏洞，威脅攻擊者需要使用組織所有者角色（具有組織的管理員訪問權(quán)限）進(jìn)行身份驗證。

Github 副總裁兼副首席安全官 Jacob DePriest 表示，2023 年 12 月 26 日，GitHub 通過 Bug 賞金計劃收到一份安全報告，其中顯示了一個安全漏洞，如果一旦成功利用該漏洞，便可以輕松訪問生產(chǎn)容器中的憑據(jù)。事發(fā)當(dāng)天，公司就組織了安全研究人員在 GitHub.com 上修復(fù)了漏洞，并開始輪換所有可能暴露的憑證。

在進(jìn)行了全面調(diào)查后，根據(jù)漏洞問題的獨特性以及對內(nèi)部的遙測和日志記錄的分析，公司研究人員有信心地認(rèn)為 CVE-2024-0200  漏洞沒有被威脅攻擊者發(fā)現(xiàn)和利用過。DePriest 還強(qiáng)調(diào)，根據(jù)安全程序且出于謹(jǐn)慎考慮，公司對憑證進(jìn)行了輪換，并強(qiáng)烈建議用戶定期從 API 中提取公鑰，以確保使用的是來自 GitHub 的最新數(shù)據(jù)。

此外，盡管 GitHub 在 12 月份輪換的大部分密鑰無需客戶自行操作，但那些使用 GitHub 提交簽名密鑰和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客戶加密密鑰的用戶需要導(dǎo)入新的公鑰。

近期，GitHub 似乎很不”健康“，接連爆出多個安全漏洞。前段時間，GitHub 方面修復(fù)了一個高嚴(yán)重性企業(yè)服務(wù)器命令注入漏洞（CVE-2024-0507），該漏洞允許威脅攻擊者使用具有編輯器角色的管理控制臺用戶賬戶提升權(quán)限。

2023 年 3 月，GitHub.com 的私人 SSH 密鑰意外地通過 GitHub 公共倉庫 "短暫 "暴露了一段時間，影響了使用 RSA 通過 SSH 進(jìn)行的 Git 操作，之后該公司也輪換了 GitHub.com 的私人 SSH 密鑰。

2022 年 12 月，威脅攻擊者在攻破 GitHub 公司的開發(fā)和發(fā)布計劃存儲庫后，竊取了大量敏感數(shù)據(jù)，迫使GitHub 不得不撤銷其 Desktop 和 Atom 應(yīng)用程序的代碼簽名證書。

參考文章：https://www.bleepingcomputer.com/news/security/github-rotates-keys-to-mitigate-impact-of-credential-exposing-flaw/