The GitHub Blog
·
GitHub.com 凭据轮换及 GHES 新补丁
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
GitHub修复了一个容器漏洞,该漏洞允许访问生产容器中的凭据。影响仅限于一个漏洞赏金研究员,但为了预防起见,凭据已经被更换。该漏洞也存在于GitHub企业服务器上,但需要一个具有组织所有者角色的经过身份验证的用户才能利用。GHES版本3.8.13、3.9.8、3.10.5和3.11.3有可用的补丁。更换凭据导致了服务中断,但流程已经改进。用户可能需要采取额外措施来旋转GitHub提交签名密钥和客户加密密钥。
🎯
关键要点
- GitHub修复了一个容器漏洞,该漏洞允许访问生产容器中的凭据。
- 漏洞影响仅限于一个漏洞赏金研究员,凭据已被更换以防万一。
- 该漏洞也存在于GitHub企业服务器上,但需要经过身份验证的组织所有者才能利用。
- GHES版本3.8.13、3.9.8、3.10.5和3.11.3已发布补丁。
- 更换凭据导致了服务中断,但流程已改进以减少未来的停机风险。
- 用户需要采取额外措施来旋转GitHub提交签名密钥和客户加密密钥。
- 新的GPG提交签名密钥于2024年1月16日启用,旧密钥在同日过期。
- 在2024年1月23日后,使用旧密钥签署的提交将不再显示为已验证。
- 用户需导入新的公钥以验证GitHub.com的提交,确保使用最新数据。
- GitHub Actions、GitHub Codespaces和Dependabot的客户加密密钥已于2024年1月16日旋转。
- 如果用户硬编码或缓存了旧公钥,可能会遇到错误信息,需调用API获取最新公钥。
🏷️
标签
➡️
