去年的 SSH 密钥泄露迫使该公司变得更加警惕。

GitHub 最近修补了 企业服务器不安全反射漏洞 CVE -2024-0200，该漏洞允许攻击者在不安全的服务器上执行远程代码。此漏洞允许访问生产容器环境变量，包括凭据，但其利用需要具有管理访问权限的组织所有者角色进行身份验证。

此安全漏洞于 2023 年 12 月 26 日通过 GitHub 上的 Bug Bounty 计划首次报告。收到报告后，该公司迅速修复了该漏洞并开始更新所有可能受损的凭据。GitHub 副总裁兼安全副主管 Jacob DePriest 表示高度相信，黑客没有时间利用该漏洞谋取私利。

作为预防措施，GitHub 还更新了访问密钥。大多数不需要用户操作，但使用 GitHub 提交签名密钥以及 GitHub Actions、Codespaces 和 Dependabot 客户端加密密钥的用户将需要手动导入新的公钥。一般来说，该公司建议通过API定期更新公钥，以确保数据安全且最新。

此外，昨天 GitHub 还修复了 Enterprise Server 中的另一个漏洞（ CVE-2024-0507 ），该漏洞允许管理控制台中具有编辑者角色的用户升级权限。该更新适用于 Enterprise Server 版本 3.8.13、3.9.8、3.10.5 和 3.11.3。该公司建议不要拖延安装并尽快应用补丁。