GitHub.com 凭据轮换及 GHES 新补丁
原文英文,约800词,阅读约需3分钟。发表于: 。GitHub received a bug bounty report of a vulnerability that allowed access to the environment variables of a production container. We have patched GitHub.com and rotated all affected credentials....
GitHub修复了一个容器漏洞,该漏洞允许访问生产容器中的凭据。影响仅限于一个漏洞赏金研究员,但为了预防起见,凭据已经被更换。该漏洞也存在于GitHub企业服务器上,但需要一个具有组织所有者角色的经过身份验证的用户才能利用。GHES版本3.8.13、3.9.8、3.10.5和3.11.3有可用的补丁。更换凭据导致了服务中断,但流程已经改进。用户可能需要采取额外措施来旋转GitHub提交签名密钥和客户加密密钥。