GitHub a détecté une vulnérabilité de sécurité critique, identifiée comme CVE-2024-0200, le 26 décembre 2023.
Cette vulnérabilité aurait pu permettre un accès non autorisé à des données sensibles dans les conteneurs de production.
En réponse, GitHub a immédiatement résolu le problème et effectué une rotation de plusieurs clés importantes, y compris celles liées à GitHub Actions, GitHub Codespaces et Dependabot.
Une autre vulnérabilité (CVE-2024-0507) a également été traitée, présentant un risque d’escalade de privilèges par injection de commande.
Corrections Apportées :
GitHub a publié des correctifs pour les versions de GitHub Enterprise Server (GHES), y compris les versions 3.8.13, 3.9.8, 3.10.5, et 3.11.3, pour adresser la vulnérabilité de « réflexion non sécurisée » et la possibilité d’exécution de code à distance.
Risques :
1. Accès non autorisé à des données sensibles.
2. Exploitation de vulnérabilités pour des attaques de type exécution de code à distance.
3. Possibilité d’escalade de privilèges par injection de commande.
Mesures à Entreprendre :
1. Importer immédiatement les nouvelles clés fournies par GitHub.
2. S’assurer d’utiliser les versions corrigées de GHES..
3. Examiner les journaux d’accès pour identifier toute activité suspecte.
4. Renforcer la sensibilisation à la sécurité au sein des équipes.
5. Mettre en place des politiques de sécurité robustes, incluant la rotation régulière des mots de passe et des clés.
6. Adopter une surveillance continue des systèmes.
7. Développer un plan de réponse aux incidents de sécurité.