Bleeping Computer 網站披露，GitHub 輪換了 12 月份修補的漏洞可能泄露的密鑰，漏洞被追蹤為 CVE-2024-0200，不僅允許威脅攻擊者在未打補丁的服務器上遠程執行代碼，還支持威脅攻擊者訪問生產容器的環境變量（包括憑據）。

近期，GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已經對 CVE-2024-0200 漏洞進行了修補，GitHub 方面敦促所有客戶應盡快安裝安全更新，以避免遭受網絡安全威脅。

值得一提的是，針對 CVE-2024-0200 漏洞的利用可能稍微有點復雜并，如果想要成功利用漏洞，威脅攻擊者需要使用組織所有者角色（具有組織的管理員訪問權限）進行身份驗證。

Github 副總裁兼副首席安全官 Jacob DePriest 表示，2023 年 12 月 26 日，GitHub 通過 Bug 賞金計劃收到一份安全報告，其中顯示了一個安全漏洞，如果一旦成功利用該漏洞，便可以輕松訪問生產容器中的憑據。事發當天，公司就組織了安全研究人員在 GitHub.com 上修復了漏洞，并開始輪換所有可能暴露的憑證。

在進行了全面調查后，根據漏洞問題的獨特性以及對內部的遙測和日志記錄的分析，公司研究人員有信心地認為 CVE-2024-0200  漏洞沒有被威脅攻擊者發現和利用過。DePriest 還強調，根據安全程序且出于謹慎考慮，公司對憑證進行了輪換，并強烈建議用戶定期從 API 中提取公鑰，以確保使用的是來自 GitHub 的最新數據。

此外，盡管 GitHub 在 12 月份輪換的大部分密鑰無需客戶自行操作，但那些使用 GitHub 提交簽名密鑰和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客戶加密密鑰的用戶需要導入新的公鑰。

近期，GitHub 似乎很不”健康“，接連爆出多個安全漏洞。前段時間，GitHub 方面修復了一個高嚴重性企業服務器命令注入漏洞（CVE-2024-0507），該漏洞允許威脅攻擊者使用具有編輯器角色的管理控制臺用戶賬戶提升權限。

2023 年 3 月，GitHub.com 的私人 SSH 密鑰意外地通過 GitHub 公共倉庫 "短暫 "暴露了一段時間，影響了使用 RSA 通過 SSH 進行的 Git 操作，之后該公司也輪換了 GitHub.com 的私人 SSH 密鑰。

2022 年 12 月，威脅攻擊者在攻破 GitHub 公司的開發和發布計劃存儲庫后，竊取了大量敏感數據，迫使GitHub 不得不撤銷其 Desktop 和 Atom 應用程序的代碼簽名證書。

參考文章：https://www.bleepingcomputer.com/news/security/github-rotates-keys-to-mitigate-impact-of-credential-exposing-flaw/