GitHub 轮换密钥，以减轻 CVE-2024-0200 漏洞带来的影响

Bleeping Computer 网站披露 ，轮换E漏GitHub 轮换了 12 月份修补的密钥漏洞可能泄露的密钥 ，漏洞被追踪为 CVE-2024-0200 ，减轻不仅允许威胁攻击者在未打补丁的洞带的影服务器上远程执行代码 ，还支持威胁攻击者访问生产容器的轮换E漏环境变量（包括凭据） 。

近期，密钥GitHub Enterprise Server (GHES) 3.8.13、减轻3.9.8、洞带的香港云服务器影3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补 ，轮换E漏GitHub 方面敦促所有客户应尽快安装安全更新 ，密钥以避免遭受网络安全威胁 。减轻

值得一提的洞带的影是 ，针对 CVE-2024-0200 漏洞的轮换E漏利用可能稍微有点复杂并，如果想要成功利用漏洞，密钥威胁攻击者需要使用组织所有者角色（具有组织的减轻管理员访问权限）进行身份验证。

Github 副总裁兼副首席安全官 Jacob DePriest 表示 
，源码下载2023 年 12 月 26 日  ，GitHub 通过 Bug 赏金计划收到一份安全报告，其中显示了一个安全漏洞，如果一旦成功利用该漏洞 ，便可以轻松访问生产容器中的凭据。事发当天 ，公司就组织了安全研究人员在 GitHub.com 上修复了漏洞  ，并开始轮换所有可能暴露的凭证。

在进行了全面调查后 ，根据漏洞问题的独特性以及对内部的源码库遥测和日志记录的分析 ，公司研究人员有信心地认为 CVE-2024-0200  漏洞没有被威胁攻击者发现和利用过
。DePriest 还强调，根据安全程序且出于谨慎考虑 ，公司对凭证进行了轮换 ，并强烈建议用户定期从 API 中提取公钥，以确保使用的是来自 GitHub 的最新数据
 。

此外，尽管 GitHub 在 12 月份轮换的建站模板大部分密钥无需客户自行操作  ，但那些使用 GitHub 提交签名密钥和 GitHub Actions
 、GitHub Codespaces 以及 Dependabot 客户加密密钥的用户需要导入新的公钥。

近期 ，GitHub 似乎很不”健康“，接连爆出多个安全漏洞。前段时间，GitHub 方面修复了一个高严重性企业服务器命令注入漏洞（CVE-2024-0507）
，该漏洞允许威胁攻击者使用具有编辑器角色的管理控制台用户账户提升权限。

2023 年 3 月
，高防服务器GitHub.com 的私人 SSH 密钥意外地通过 GitHub 公共仓库 "短暂 "暴露了一段时间 ，影响了使用 RSA 通过 SSH 进行的 Git 操作，之后该公司也轮换了 GitHub.com 的私人 SSH 密钥。

2022 年 12 月
，威胁攻击者在攻破 GitHub 公司的开发和发布计划存储库后，窃取了大量敏感数据 ，迫使GitHub 不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书。

参考文章
：https://www.bleepingcomputer.com/news/security/github-rotates-keys-to-mitigate-impact-of-credential-exposing-flaw/