VMware 警告客户，CVE-2023-34048（2023 年 10 月修补的一个关键 vCenter Server 漏洞）正在被广泛利用。 CVE-2023-34048 被描述为与 DCERPC 协议实施相关的越界写入问题。它可以允许具有 vCenter Server 网络访问权限的黑客远程执行任意代码。 这一问题被认为非常严重，是由趋势科技零日计划的 Grigory Dorodnov 发现的。鉴于其严重性，即使该产品的版本已达到生命周期终止（EoL）状态，VMware 还是决定了在 10 月份发布相应的补丁。 VMware 现已更新其初始安全公告，通知客户其已确认 CVE-2023-34048 已被利用。 截至撰写本文时，似乎还没有关于利用 vCenter Server 漏洞进行攻击的信息。 公开的 PoC 漏洞似乎并不存在，但自 12 月初以来，技术细节已经被公开。 根据 Shadowserver Foundation 的数据，目前有数百个暴露于互联网的 VMware vCenter Server 实例可能存在漏洞。 VMware 产品成为黑客攻击目标的情况并不少见。美国安全机构 CISA 维护的已知被利用漏洞目录目前包括 21 个 VMware 产品漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/292805 封面来源于网络，如有侵权请联系删除

在开源 TensorFlow 机器学习框架中发现的持续集成与持续交付（CI/CD）配置错误，可能被利用来发起供应链攻击。 TensorFlow 是谷歌的开发者创造的一款开源的深度学习框架，于 2015 年发布。TensorFlow 现已被公司、企业与创业公司广泛用于自动化工作任务和开发新系统，其在分布式训练支持、可扩展的生产和部署选项、多种设备（比如安卓）支持方面备受好评。 Praetorian 的研究员 Adnan Khan 和 John Stawinski 在本周发布的一份报告中表示，这些配置错误可能被黑客利用来“通过恶意拉取请求破坏 TensorFlow 的构建代理，从而对 GitHub 和 PyPi 上的 TensorFlow 版本进行供应链破坏”。 通过利用这些漏洞，黑客可将恶意版本上传到 GitHub 仓库，并获得自托管 GitHub 运行器（runner）上的远程代码执行权限，甚至检索 tensorflow-jenkins 用户的 GitHub 个人访问令牌（PAT）。 TensorFlow 使用 GitHub Actions 自动化软件构建、测试和部署流程。运行器指的是执行 GitHub Actions 工作流中任务的机器，可以自托管，也可以由 GitHub 托管。 GitHub 在其文档中写道，“建议用户仅在私有仓库中使用自托管运行器，因为公共仓库的分支可能通过创建执行危险代码的工作流拉取请求，在您的自托管运行器机器上运行潜在危险的代码。” 换言之，这允许任何贡献者通过提交恶意拉取请求，在自托管运行器上执行任意代码。 然而，这并不会对 GitHub 托管的运行器构成任何安全问题，因为每个运行器都是短暂的，并且是一个干净、隔离的虚拟机，在任务执行结束后就会被销毁。 Praetorian 表示，它能够识别在自托管运行器上执行的 TensorFlow 工作流，随后发现以前的贡献者提交的分支拉取请求自动触发了相应的 CI/CD 工作流，且无需批准。 因此，一个想要对目标仓库进行木马化的黑客是这样操作的，他会修正一个拼写错误或进行一个小但合法的代码更改，为此创建一个拉取请求，然后等待拉取请求被合并，以成为一个贡献者。这将使他们能够在创建恶意拉取请求时执行代码，而不会引起任何警告。 对工作流日志的进一步检查表明，自托管运行器不仅是非短暂性的（从而为持久性打开了大门），而且与工作流相关的 GITHUB_TOKEN 也附带了广泛的写入权限。 研究人员指出“因为 GITHUB_TOKEN 拥有 contents:write 权限，它可以上传版本到 https://github[.]com/tensorflow/tensorflow/releases/，黑客如果破坏这些 GITHUB_TOKEN，就可以在发布资产中添加他们自己的文件。” 最重要的是， contents:write 权限可以武器化，通过直接向 TensorFlow 仓库推送代码，秘密地将恶意代码注入到一个特性分支，并将其合并到主分支。 不仅如此，黑客还可以窃取发布工作流中使用的 AWS_PYPI_ACCOUNT_TOKEN，以向 Python 包索引（PyPI）注册表进行身份验证，并上传恶意 Python .whl 文件，以便有效地污染包。 研究人员说，“黑客还可以利用 GITHUB_TOKEN 的权限来危及 JENKINS_TOKEN 仓库密钥，尽管这个密钥并未在自托管运行器上运行的工作流中使用。” 在 2023 年 8 月 1 日进行了负责任的披露后，项目维护人员于 2023 年 12 月 20 日解决了这些漏洞，要求批准从所有 fork pull 请求提交的工作流，包括以前的贡献者提交的工作流，并将在自托管运行器上运行的工作流的 GITHUB_TOKEN 权限更改为只读。 “随着越来越多的组织自动化他们的 CI/CD 流程，类似的 CI/CD 攻击正在增加。”研究人员说道，“AI/ML 公司尤其脆弱，因为他们的许多工作流需要大量的计算能力，而 GitHub 托管的运行器是无法提供的，因此自托管运行器很普遍。” 两位研究人员都透露，几个公共 GitHub 存储库，包括与 Chia Networks，Microsoft DeepSpeed 和 PyTorch 相关的存储库，容易受到通过自托管 GitHub Actions 运行器进行恶意代码注入的影响。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/390133.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Quarkslab 研究人员发现了 9 个漏洞，统称为PixieFail。这些漏洞影响了 UEFI 的开源参考实现 EDK II 的 IPv6 网络协议栈。 统一可扩展固件接口（UEFI）是一项规范，定义了用于引导计算机硬件并与操作系统进行交互的平台固件的架构。实现该规范的固件示例包括 AMI Aptio、Phoenix SecureCore、TianoCore EDK II、InsydeH2O 等。 研究人员在分析 Tianocore 的 EDK II PXE 实现 NetworkPkg 时发现了这些漏洞。这些漏洞的严重程度和潜在利用可能取决于特定固件构建和默认的 PXE 引导配置。 PixieFail 漏洞可被利用以实现远程代码执行和敏感信息泄露，并执行拒绝服务（DoS）和网络会话劫持攻击。 NetworkPkg 是一组在 UEFI 环境中实现网络功能的模块。UEFI 中的 NetworkPkg 可能包括在预引导阶段初始化和管理与网络相关功能的模块。这可能涉及用于与网络设备交互的协议，如用于网络引导的 Preboot eXecution Environment（PXE）协议。 “为了从网络引导，客户端系统必须能够定位、下载和执行设置、配置和运行操作系统的代码。这通常是通过几个阶段完成的，首先通过简单协议（如TFTP）从网络服务器下载一个最小程序，然后下载并运行第二个引导阶段或完整的操作系统映像。”通告中写道。 “为了定位这个最小程序，称为网络引导程序（NBP），PXE 客户端依赖 DHCP 服务器来获取配置参数，以用有效的 IP 地址配置其网络接口，并接收要查询 NBP 文件的启动服务器列表。” “由于 DHCP 服务器必须提供这样的列表和其他特殊参数，因此 PXE 客户端必须发送一些强制性的与 PXE 相关的 DHCP 选项，且 DHCP 服务器必须是‘PXE启用’的，即配置适当以识别 PXE 客户端选项并回复正确的 DHCP 服务器选项。” 以下是专家发现的 PixieFAIL 漏洞列表： CVE-2023-45229 – 处理 DHCPv6 Advertise 消息中的 IA_NA/IA_TA 选项时出现整数下溢 CVE-2023-45230 – DHCPv6 客户端中通过长服务器 ID 选项发生缓冲区溢出 CVE-2023-45231 – 处理带有截断选项的 ND 重定向消息时出现越界读取 CVE-2023-45232 – 解析目标选项标头中的未知选项时出现无限循环 CVE-2023-45233 – 解析目标选项标头中的 PadN 选项时出现无限循环 CVE-2023-45234 – 处理 DHCPv6 通告消息中的 DNS 服务器选项时缓冲区溢出 CVE-2023-45235 – 从 DHCPv6 代理播发消息处理服务器 ID 选项时出现缓冲区溢出 CVE-2023-45236 – 可预测的 TCP 初始序列号 CVE-2023-45237 – 使用弱伪随机数生成器 CERT 协调中心 （CERT/CC） 也发布了有关这些漏洞的公告。 “本地网络中的攻击者（在某些情况下是远程的）可以利用这些漏洞来执行远程代码、发起 DoS 攻击、进行 DNS 缓存中毒或提取敏感信息。” CERT/CC 还发布了漏洞说明，其中包含受影响供应商的完整列表以及缓解这些问题的指南。   消息来源：securityaffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在周四将一个已经修复的关键漏洞添加到其已知被利用漏洞（KEV）目录中，该漏洞影响了 Ivanti Endpoint Manager Mobile（EPMM）和 MobileIron Core ，并正在被广泛利用。 有问题的漏洞是 CVE-2023-35082（CVSS 分数：9.8），这是一个身份验证绕过漏洞，是对同一解决方案中另一个漏洞 CVE-2023-35078（CVSS 分数：10.0）的修补绕过。 Ivanti 在 2023 年 8 月指出：“如果此漏洞被利用，未经授权的远程（面向互联网）黑客能够潜在地访问用户的个人身份信息，并对服务器进行有限的更改。” 漏洞影响到所有版本的 Ivanti Endpoint Manager Mobile（EPMM），包括 11.10、11.9 和 11.8，还有 MobileIron Core 的 11.7 及以下版本。 发现并报告该漏洞的网络安全公司 Rapid7 表示，它可以与 CVE-2023-35081 链接，以允许黑客将恶意 Web Shell 文件写入设备。 目前还没有关于该漏洞如何在实际攻击中被武器化的详细信息。建议联邦机构在 2024 年 2 月 8 日之前应用供应商提供的修复程序。 Ivanti Connect Secure （ICS）虚拟专用网络（VPN）设备中的另外两个零日漏洞（CVE-2023-46805 和 CVE-2024-21887）也遭到大规模利用， 用于投放 Web Shell 和设置被动后门，该公司预计将在下周发布更新。 Ivanti 在一份咨询中表示：“我们已经观察到黑客瞄准系统的配置和运行缓存，其中包含对 VPN 操作至关重要的秘密。” “虽然我们没有在每个实例中观察到这种情况，但出于谨慎起见，Ivanti 建议您在重建后更换这些秘密。” 本周早些时候，Volexity 透露已经能够找到全球 1,700 多种设备遭到入侵的证据。虽然最初的攻击与一名疑似中国黑客（代号 UTA0178）有关，但后来还有其他黑客加入了攻击行列。 Assetnote 对这两个相关漏洞进行了深入的逆向工程分析，发现了一个额外的端点（”/api/v1/totp/user-backup-code”），通过该端点，身份验证绕过漏洞（CVE-2023-46805）可在旧版本的 ICS 上被滥用并获得反向 shell。 安全研究人员 Shubham Shah 和 Dylan Pindur 将其描述为“由于相对简单的安全错误而导致安全 VPN 设备暴露于大规模利用的另一个例子”。   消息来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Rapid SCADA 开源工业自动化平台受到多个漏洞的影响，这些漏洞可能允许黑客访问敏感的工业系统，但这些漏洞仍未修补。 美国网络安全机构 CISA 上周发布了一份公告，向工业组织通报 Claroty 研究人员在 Rapid SCADA 中发现的 7 个漏洞。 Rapid SCADA 被宣传为开发监控和控制系统的理想选择，特别是工业自动化和 IIoT 系统、能源核算系统和过程控制系统。 该产品受到 7 种类型的漏洞影响，根据 CISA 的通报，这些漏洞可用于读取敏感文件、远程执行任意代码、通过网络钓鱼攻击访问敏感系统、提升权限、获取管理员密码以及访问与应用程序内部代码相关的敏感数据。 其中一个漏洞被归类为“严重”，另外两个漏洞被归类为“高严重性”，尽管开发人员已于 2023 年 7 月上旬收到通知，但截至目前尚未发布相应的补丁。 CISA 和 Claroty 表示，他们试图与 Rapid SCADA 的开发人员联系，但未能成功。该开发商还未回应《SecurityWeek》的置评请求。 Claroty 的漏洞研究员 Noam Moshe 告诉《SecurityWeek》，由于其免费和开源的特性，Rapid SCADA 已在现代运营技术（OT）生态系统的许多不同领域得到广泛应用，对于中小型公司来说是一个不错的选择。 Moshe 指出，未经身份验证的黑客可以利用其中一些漏洞进行远程代码执行，并且有几十个可直接从互联网访问的 Rapid SCADA 实例，使组织容易受到攻击。 研究人员解释说：“我们发现的漏洞使黑客能够快速在 SCADA 服务器上实现远程代码执行，这意味着黑客可以完全控制这些服务器。” “成功利用漏洞后，黑客可以修改Rapid SCADA 服务器控制的服务行为，并在受害者网络内进行横向移动等操作。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292767 封面来源于网络，如有侵权请联系删除

Citrix 强烈建议用户立即修补连接互联网的 Netscaler ADC 和 Netscaler Gateway 设备，以防止与两个新的主动利用的零日漏洞相关的攻击。 这些安全漏洞分别标记为 CVE-2023-6548 和 CVE-2023-6549 ，它们影响 Netscaler 管理界面，并使运行旧版软件的实例容易受到远程代码执行攻击和拒绝服务攻击。 要执行代码，攻击者需要访问低权限帐户以及可访问管理界面的 NSIP、CLIP 或 SNIP。设备必须配置为网关（虚拟 VPN 服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器，否则容易受到拒绝服务攻击。 据该公司称，只有 Netscaler 客户管理的设备才会受到这些漏洞的影响。Citrix 云服务和 Citrix 本身管理的自适应身份验证不受影响。 受这些漏洞影响的 NetScaler 产品版本列表包括： NetScaler ADC 和 NetScaler Gateway 从 14.1 到 14.1-12.35 NetScaler ADC 和 NetScaler Gateway 从 13.1 到 13.1-51.15 NetScaler ADC 和 NetScaler Gateway 从 13.0 到 13.0-92.21 NetScaler ADC 13.1-FIPS 高达 13.1-37.176 NetScaler ADC 12.1-FIPS 高达 12.1-55.302 NetScaler ADC 12.1-NDcPP 至 12.1-55.302 根据威胁监控平台 Shadowserver 的数据，现在大约有 1,500 个 Netscaler 管理界面可以通过互联网访问。 在最近的安全公告中，Citrix 敦促管理员立即更新其 NetScaler 设备以防止潜在的攻击。 该公司警告说，已经观察到在没有适当更新的设备上利用这些漏洞的情况，因此建议 NetScaler ADC 和 NetScaler Gateway 客户尽快安装适当的更新版本。 还建议那些仍在使用已停产的 NetScaler ADC 和 NetScaler Gateway 软件版本 12.1 的用户升级到仍受支持的版本。 无法立即安装最新安全更新的管理员应阻止受影响实例的网络流量，并确保无法从 Internet 访问它们。Citrix 还建议将设备管理界面的网络流量与正常网络流量在物理或逻辑上分开。 另外，公司建议原则上不要将管理界面暴露在互联网上。通过限制此类访问权限，可以显著降低利用此问题的风险。 另一个关键的 Netscaler 漏洞于 10 月份进行了修补，编号为 CVE-2023-4966 （后称为 Citrix Bleed），自 8 月份以来也被各种威胁团体利用，以危害世界各地的政府组织和大型科技公司的网络，例如波音。 医疗保健网络安全协调中心 ( HC3 ) 还发布了全行业警报，敦促医疗保健组织确保其 NetScaler ADC 和 NetScaler Gateway 实例免受不断增加的勒索软件攻击的威胁。   转自安全客，原文链接：https://www.anquanke.com/post/id/292728 封面来源于网络，如有侵权请联系删除

Tianocore EDK II 中的 9 个漏洞为黑客提供了完全的恶意行动自由。 法国公司 Quarkslab 的研究人员在 Tianocore EDK II （ UEFI规范的开放实现）中发现了许多严重漏洞，可利用这些漏洞进行远程代码执行。 9 个漏洞统称为 PixieFAIL，可导致拒绝服务、信息泄露、远程代码执行、DNS 缓存中毒和网络会话劫持。它们是在检查 NetworkPkg 时发现的，该 NetworkPkg 提供用于网络配置的驱动程序和应用程序。 该漏洞模块被许多制造商使用，包括微软、ARM、Insyde、Phoenix Technologies 和 AMI。Quarkslab 的 CTO 还确认了 Microsoft 的 Tianocore EDK II 改编项目 Project Mu 中存在易受攻击的代码。 这九个漏洞在以下 CVE 标识符下进行了描述： CVE-2023-45229：处理 DHCPv6 Advertise 消息中 IA_NA/IA_TA 选项时存在整数缺陷； CVE-2023-45230：由于长服务器 ID 选项导致 DHCPv6 客户端出现缓冲区溢出； CVE-2023-45231：处理 ND 重定向消息中的截断选项时出现越界读取； CVE-2023-45232：解析 Destination Options 标头中的未知选项时出现无限循环； CVE-2023-45233：解析 Destination Options 标头中的 PadN 选项时出现无限循环； CVE-2023-45234：处理 DHCPv6 通告消息中的 DNS 服务器时出现缓冲区溢出； CVE-2023-45235：处理 DHCPv6 代理广告消息中的服务器 ID 参数时缓冲区溢出； CVE-2023-45236：可预测的 TCP 起始序列号； CVE-2023-45237：使用弱伪随机数生成器。 Quarkslab 发布了一个 PoC 漏洞来演示前七个漏洞，允许防御者创建签名来检测感染尝试。 CERT-CC 协调中心发布了一份通知，列出了受影响和潜在易受攻击的制造商，以及实施补丁和保护措施的建议。中心代表确认 Insyde、AMI、Intel 和 Phoenix Technologies 受到影响，但其漏洞的具体状态仍不清楚。   转自安全客，原文链接：https://www.anquanke.com/post/id/292722 封面来源于网络，如有侵权请联系删除

越来越多的神经网络开发人员使用 GPU 处理器，但其安全性如何呢？ 人工智能系统的发展势头强劲。越来越多的公司开始使用图形处理单元 ( GPU ) 来获取运行大型语言模型和快速处理大量数据所需的计算能力。GPU 的需求从未如此之高，芯片制造商正在积极增加供应。 然而，在最近的一项研究中，专家同时提请注意多个型号和品牌的漏洞，特别是苹果、高通和 AMD 芯片。此问题可能允许攻击者从处理器内存中窃取大量数据。 长期以来，制造商一直在提高中央处理单元的安全性，以避免内存中的敏感数据泄露。GPU 的设计优先考虑图形性能而不是信息安全。然而，随着 GPU 在生成型人工智能和机器学习领域的使用不断扩大， Trail of Bits 的专家警告称，需要解决的威胁正在不断增加。 Trail of Bits 的人工智能和机器学习安全总监 Heidi Hlaaf 评论道：“这些 GPU 存在严重的安全问题，可能会导致大量数据泄露。” 要利用这个被分析师称为 LeftoverLocals 的漏洞，攻击者必须已经在受攻击设备的操作系统上具备一定级别的访问权限。 现代计算机和服务器经过专门设计，可以使用相同的计算资源隔离来自不同用户的数据。然而，LeftoverLocals 攻击打破了这些障碍。通过利用该漏洞，黑客能够从易受攻击的 GPU 的本地内存中获取正常条件下无法获取的任何信息。这些可以是来自语言模型的请求和响应，以及控制它们的权重。 去年夏天，研究人员测试了来自 7 家制造商的 11 款芯片以及几个相关的软件框架。他们在 Apple、AMD 和 Qualcomm 的处理器中发现了 LeftoverLocals。9 月，CERT 中心和 Khronos Group 合作开始大规模传播有关该漏洞的信息。 Nvidia、Intel 或 Arm 处理器没有发现任何问题。但苹果、高通和 AMD 的代表证实，他们的产品容易受到此漏洞的影响。这意味着 AMD Radeon RX 7900 XT 等知名芯片以及 iPhone 12 Pro 和苹果 MacBook Air M2 等设备都面临风险。 苹果发言人指出，该公司已发布针对 2023 年底推出的最新 M3 和 A17 处理器的修复程序。因此，该漏洞仍然存在于数百万使用旧芯片的前代 iPhone、iPad 和 MacBook 中。 1 月 10 日，Trail of Bits 重新测试了多款苹果设备。他们确认 MacBook Air M2 仍然存在漏洞，而第三代 iPad Air A12 似乎已经修复。 高通表示，该公司目前正在开发安全更新，并建议用户安装制造商提供的补丁。据 Trail of Bits 报道，高通已经发布了必要的固件。 1 月 10 日，AMD 发布了一份网络安全公告，详细介绍了该公司消除 LeftoverLocals 的计划。更正将于三月份进行。 谷歌还表示，它已经意识到一个影响 AMD、苹果和高通 GPU 的问题。该公司已经发布了针对具有易受攻击的 AMD 和高通 GPU 的 ChromeOS 设备的更新。   转自安全客，原文链接：https://www.anquanke.com/post/id/292717 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： Atlassian发布警告称：Confluence Data Center 和 Confluence Server 中存在严重的远程代码执行漏洞，该漏洞被编号为CVE-2023-22527（CVSS 评分10.0），会影响旧版本。 此漏洞是一种模板注入漏洞，允许远程攻击者在易受攻击的Confluence上执行任意代码。Confluence Data Center和Server的以下版本受到影响：8.0.x、8.1.x、8.2.x、8.3.x、8.4.x以及8.5.0至8.5.3，最新版本不受此问题的影响。 根据ZoomEye网络空间搜索引擎的测绘数据，目前有超44万条搜索结果。 “在Confluence Data Center和Server的旧版本存在模板注入漏洞，允许未经身份验证的攻击者在受影响的版本上实现远程代码执行（RCE）。”厂商在发布的安全公告中还指出。“该RCE漏洞影响2023年12月5日之前发布的Confluence Data Center和Server 8、以及8.4.5版本，根据修复策略，相关版本后续不再进行修复，建议用户安装最新版本。” Atlassian通过发布8.5.4（LTS）、8.6.0（仅适用于Data Center）和8.7.1（仅适用于Data Center）版本来解决此漏洞。同时建议用户立即安装最新版本以修补相关漏洞。 安全公告还提到，此漏洞目前暂未发布相关修复措施。 消息来源：securityaffairs，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Bleeping Computer 网站披露，GitHub 轮换了 12 月份修补的漏洞可能泄露的密钥，漏洞被追踪为 CVE-2024-0200，不仅允许威胁攻击者在未打补丁的服务器上远程执行代码，还支持威胁攻击者访问生产容器的环境变量（包括凭据）。 近期，GitHub Enterprise Server (GHES) 3.8.13、3.9.8、3.10.5 和 3.11.3 版本已经对 CVE-2024-0200 漏洞进行了修补，GitHub 方面敦促所有客户应尽快安装安全更新，以避免遭受网络安全威胁。 值得一提的是，针对 CVE-2024-0200 漏洞的利用可能稍微有点复杂并，如果想要成功利用漏洞，威胁攻击者需要使用组织所有者角色（具有组织的管理员访问权限）进行身份验证。 Github 副总裁兼副首席安全官 Jacob DePriest 表示，2023 年 12 月 26 日，GitHub 通过 Bug 赏金计划收到一份安全报告，其中显示了一个安全漏洞，如果一旦成功利用该漏洞，便可以轻松访问生产容器中的凭据。事发当天，公司就组织了安全研究人员在 GitHub.com 上修复了漏洞，并开始轮换所有可能暴露的凭证。 在进行了全面调查后，根据漏洞问题的独特性以及对内部的遥测和日志记录的分析，公司研究人员有信心地认为 CVE-2024-0200  漏洞没有被威胁攻击者发现和利用过。DePriest 还强调，根据安全程序且出于谨慎考虑，公司对凭证进行了轮换，并强烈建议用户定期从 API 中提取公钥，以确保使用的是来自 GitHub 的最新数据。 此外，尽管 GitHub 在 12 月份轮换的大部分密钥无需客户自行操作，但那些使用 GitHub 提交签名密钥和 GitHub Actions、GitHub Codespaces 以及 Dependabot 客户加密密钥的用户需要导入新的公钥。 近期，GitHub 似乎很不”健康“，接连爆出多个安全漏洞。前段时间，GitHub 方面修复了一个高严重性企业服务器命令注入漏洞（CVE-2024-0507），该漏洞允许威胁攻击者使用具有编辑器角色的管理控制台用户账户提升权限。 2023 年 3 月，GitHub.com 的私人 SSH 密钥意外地通过 GitHub 公共仓库 “短暂 “暴露了一段时间，影响了使用 RSA 通过 SSH 进行的 Git 操作，之后该公司也轮换了 GitHub.com 的私人 SSH 密钥。 2022 年 12 月，威胁攻击者在攻破 GitHub 公司的开发和发布计划存储库后，窃取了大量敏感数据，迫使GitHub 不得不撤销其 Desktop 和 Atom 应用程序的代码签名证书。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/389885.html 封面来源于网络，如有侵权请联系删除