💡
原文中文,约2700字,阅读约需7分钟。
📝
内容提要
开源社区发现GitHub上删除的内容和私有存储库的数据仍然可以永久访问,这是GitHub官方故意设计的。安全软件公司Truffle Security发现了CFOR漏洞,建议通过密钥轮换来修复。
🎯
关键要点
- 开源社区发现GitHub上删除的内容和私有存储库的数据仍然可以永久访问,这是GitHub官方故意设计的。
- Truffle Security发现了CFOR漏洞,用户可以通过提交哈希值访问已删除的提交数据。
- CFOR漏洞允许用户访问已删除的fork存储库中的敏感数据,尽管这些数据在GitHub UI中不可见。
- 即使删除了公共存储库,fork存储库中的提交仍然可以被访问,导致敏感数据泄露的风险。
- 私有存储库的特征和代码在公开后可能被公众访问,尤其是在创建私有fork时。
- GitHub的设计允许通过暴力破解commit hash来访问已删除的数据,增加了数据泄露的风险。
- Truffle Security向GitHub提交了漏洞报告,GitHub确认这是故意设计的,但用户可能误解了私有和公共存储库的安全边界。
- Truffle Security建议通过密钥轮换来修复公共GitHub存储库上泄露的密钥问题。
❓
延伸问答
GitHub上删除的内容为什么仍然可以访问?
GitHub上删除的内容可以访问是因为这是GitHub官方故意设计的,用户可以通过提交哈希值访问已删除的提交数据。
CFOR漏洞是什么?
CFOR漏洞是指当一个存储库fork可以访问另一个fork中的敏感数据时出现的漏洞,允许用户通过提交哈希值访问已删除的数据。
如何修复GitHub上的数据泄露问题?
Truffle Security建议通过密钥轮换来修复公共GitHub存储库上泄露的密钥问题。
私有存储库的数据会被公开吗?
是的,私有存储库的数据在创建私有fork后可能会被公众访问,尤其是在将上游存储库公开后。
GitHub的设计如何影响数据安全?
GitHub的设计允许通过暴力破解commit hash来访问已删除的数据,这增加了数据泄露的风险。
Truffle Security发现了什么问题?
Truffle Security发现GitHub上存在CFOR漏洞,导致用户可以访问已删除的fork存储库中的敏感数据。
➡️
