O GitHub revelou que rotacionou algumas chaves em resposta a uma vulnerabilidade de segurança que poderia ser potencialmente explorada para obter acesso a credenciais dentro de um contêiner de produção. A subsidiária da Microsoft informou que tomou conhecimento do problema em 26 de dezembro de 2023 e que abordou a questão no mesmo dia, além de rotacionar todas as credenciais potencialmente expostas por excesso de precaução.

As chaves rotacionadas incluem a chave de assinatura de commit do GitHub, bem como as chaves de criptografia do cliente do GitHub Actions, GitHub Codespaces e Dependabot, o que exige que os usuários que dependem dessas chaves importem as novas. Não há evidências de que a vulnerabilidade de alta gravidade, rastreada como CVE-2024-0200 (pontuação CVSS: 7.2), tenha sido encontrada e explorada anteriormente. “Esta vulnerabilidade também está presente no GitHub Enterprise Server (GHES)”, disse Jacob DePriest do GitHub.

“No entanto, a exploração requer um usuário autenticado com um papel de proprietário da organização para estar logado em uma conta na instância GHES, o que é um conjunto significativo de circunstâncias atenuantes para a exploração potencial.” Em um comunicado separado, o GitHub caracterizou a vulnerabilidade como um caso de “reflexão insegura” no GHES que poderia levar à injeção de reflexão e execução remota de código. Ela foi corrigida nas versões 3.8.13, 3.9.8, 3.10.5 e 3.11.3 do GHES.