💡
原文中文,约2700字,阅读约需7分钟。
📝
内容提要
开源社区发现GitHub上删除的内容和私有存储库的数据仍然可以永久访问,这是GitHub官方故意设计的。安全软件公司Truffle Security发现了CFOR漏洞,建议通过密钥轮换来修复。
🎯
关键要点
- 开源社区发现GitHub上删除的内容和私有存储库的数据仍然可以永久访问,这是GitHub官方故意设计的。
- Truffle Security发现了CFOR漏洞,用户可以通过提交哈希值访问已删除的提交数据。
- CFOR漏洞允许用户访问已删除的fork存储库中的敏感数据,尽管这些数据在GitHub UI中不可见。
- 即使删除了公共存储库,fork存储库中的提交仍然可以被访问,导致敏感数据泄露的风险。
- 私有存储库的特征和代码在公开后可能被公众访问,尤其是在创建私有fork时。
- GitHub的设计允许通过暴力破解commit hash来访问已删除的数据,增加了数据泄露的风险。
- Truffle Security向GitHub提交了漏洞报告,GitHub确认这是故意设计的,但用户可能误解了私有和公共存储库的安全边界。
- Truffle Security建议通过密钥轮换来修复公共GitHub存储库上泄露的密钥问题。
➡️
