forum.opennet.ru - "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утечке переменных окружения" (17)

"GitHub обновил PGP-ключи из-за уязвимости, приводящей к утечке переменных окружения"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"GitHub обновил PGP-ключи из-за уязвимости, приводящей к утечке переменных окружения"	+/–
Сообщение от opennews (?), 17-Янв-24, 13:56
GitHub раскрыл сведения об уязвимости, позволяющей получить доступ к содержимому переменных окружений, выставленных в контейнерах, применяемых в рабочей инфраструктуре. Уязвимость была выявлена участником программы Bug Bounty, претендующим на получение вознаграждения за поиск проблем с безопасностью. Проблема затрагивает как сервис GitHub.com, так и конфигурации GitHub Enterprise Server (GHES), выполняемые на системах пользователей... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60448
Ответить \| Правка \| Cообщить модератору

Оглавление

Что опять руби виноват , Аноним (5), 14:09 , 17-Янв-24, (5) +3

Все равно что предъявить вину молотка криворукому плотнику Язык это всего лишь , Аноним (28), 00:25 , 18-Янв-24, (28)

Топор с надпиленным топорищем - тоже, вроде бы, топор, Бывалый смузихлёб (?), 11:17 , 18-Янв-24, (30)

Если ключ не скомпромитирован, то нафига его отзывать, нарушая функционирование , Аноним (6), 14:27 , 17-Янв-24, (6) –3

На всякий случай перестраховались Чтобы потом не влияло, если активность позже , Denis Fateyev (ok), 17:55 , 17-Янв-24, (12)

Ну это не верно в корне Без этой обвязки гит это смешное скопление костылей нико, Аноньимъ (ok), 18:28 , 17-Янв-24, (14) –2

Чего же все меркуриалом не пользуются он же во всем лучше , Аноним (5), 19:40 , 17-Янв-24, (17)

Ну вот bitbucket поменял меркуриал на git - что, все пользователи разбежались П, User (??), 20:43 , 17-Янв-24, (20) +1

Обвязка дополняет git, и вообще опциональна Она красивая, удобная и прочее 82, Denis Fateyev (ok), 20:47 , 17-Янв-24, (22)

Отозванный ключ - это ключ, которым сам GitHub подписывал коммиты, когда они был, Аноним (18), 19:51 , 17-Янв-24, (18)

Начать с того, что такие ключи, сгенерированные самой платформой 8212 лишь ог, Denis Fateyev (ok), 21:26 , 17-Янв-24, (23)

Ты думаешь что тут есть часть инфлрмации правдивой Мнда как все пичально, scriptkiddis (?), 20:18 , 17-Янв-24, (19)

PGP или GPG , Аноним (9), 16:16 , 17-Янв-24, (9)
Пора вводить шестифакторную авторизацию , Аноним (13), 18:12 , 17-Янв-24, (13) +2
Я один подумал, что ущербна сама идея централизованного храниния секретных ключе, Аноним (24), 23:23 , 17-Янв-24, (24)

Ущербны любые децентрализованные системы, а централизация и строгая вертикаль - , Аноним (28), 00:23 , 18-Янв-24, (27)

Скрыто модератором, Аноним (-), 06:51 , 18-Янв-24, (29)

Сообщения [Сортировка по времени | RSS]

5. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +3 +/–

Сообщение от Аноним (5), 17-Янв-24, 14:09

Что опять руби виноват?

Ответить | Правка | Наверх | Cообщить модератору

28. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Аноним (28), 18-Янв-24, 00:25

Все равно что предъявить вину молотка криворукому плотнику. Язык это всего лишь инструмент.

Ответить | Правка | Наверх | Cообщить модератору

30. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Бывалый смузихлёб (?), 18-Янв-24, 11:17

Топор с надпиленным топорищем - тоже, вроде бы, топор

Ответить | Правка | Наверх | Cообщить модератору

6. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." –3 +/–

Сообщение от Аноним (6), 17-Янв-24, 14:27

>Начиная с 23 января все новые коммиты, подписанные прошлым ключом, не будут помечены на сайте GitHub как верифицированные.
>Замена внутренних ключей привела к нарушению работы некоторых сервисов с 27 по 29 декабря.
Если ключ не скомпромитирован, то нафига его отзывать, нарушая функционирование. Если скомпромитирован, то почему такой поздней датой? Почему вообще подтверждённость выполненности коммита в веб-интерфейсе GitHub определяется подписью на коммите, а не наличием хэша коммита в множестве, хранимом на сервере GitHub и доступном для скачивания?

Ответить | Правка | Наверх | Cообщить модератору

12. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Denis Fateyev (ok), 17-Янв-24, 17:55

> Если ключ не скомпромитирован, то нафига его отзывать, нарушая функционирование.
На всякий случай перестраховались? Чтобы потом не влияло, если активность позже всё-таки обнаружат (к тому времени, ключ будет отозван). Либо, в анонсе нам дали не всю информации. В целом, спорный момент.
> Почему вообще подтверждённость выполненности коммита в веб-интерфейсе GitHub определяется подписью на коммите, а не наличием хэша коммита в множестве, хранимом на сервере GitHub и доступном для скачивания?
Первичная сущность здесь git, а веб-инструменты только обвязка над ним. «Подтвержденность выполненности коммита» не определяется подписью в коммите (подписи может и не быть). Отдельно какую-то несовместимую с git-ом историю хэшей хранить нет смысла, если весь нужный функционал можно сделать средствами самого git.

Ответить | Правка | Наверх | Cообщить модератору

14. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." –2 +/–

Сообщение от Аноньимъ (ok), 17-Янв-24, 18:28

> Первичная сущность здесь git, а веб-инструменты только обвязка над ним.
Ну это не верно в корне.
Без этой обвязки гит это смешное скопление костылей никому кроме "кернел девелоперс" рассылающих патчи емейлами ненужное.
В то-же время, поменяй гитхаб гиб на нечто иное, даже не очень совместимое - ничего не измениться, особо упоротые "громкие голоса" поноют и схавают, а энтерпрайзу вообще пофиг, лишь бы была двухкнопочная миграция.

Ответить | Правка | Наверх | Cообщить модератору

17. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Аноним (5), 17-Янв-24, 19:40

Чего же все меркуриалом не пользуются он же во всем лучше.

Ответить | Правка | Наверх | Cообщить модератору

20. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +1 +/–

Сообщение от User (??), 17-Янв-24, 20:43

Ну вот bitbucket поменял меркуриал на git - что, все пользователи разбежались? Проделает такой же кунштюк github - так же ничего не изменится. ВоЙены будут воевать, борцуны - бороцца, а индус-триальные погроммизды - погроммиздить.

Ответить | Правка | Наверх | Cообщить модератору

22. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Denis Fateyev (ok), 17-Янв-24, 20:47

> Без этой обвязки гит это смешное скопление костылей никому кроме "кернел девелоперс" рассылающих патчи емейлами ненужное.
Обвязка дополняет git, и вообще опциональна. Она красивая, удобная и прочее — но быстро потеряет популярность, если убрать git.
Думаю, практически проверять GitHub это не будет.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Аноним (18), 17-Янв-24, 19:51

>Первичная сущность здесь git, а веб-инструменты только обвязка над ним. «Подтвержденность выполненности коммита» не определяется подписью в коммите (подписи может и не быть).
Отозванный ключ - это ключ, которым сам GitHub подписывал коммиты, когда они были сделаны в его веб-интерфейсе, как-бы подтверждая, что его сделал тот аккаунт, который написан в авторах коммита. Так можно было проверить историю локально: скачать ключ, и проверить. Но история связана цепочкой хэшей, и хэшируется в том числе подпись. Ключ был скомпрометирован - все подписи стали невалидными. А ведь кто-то мог на эту проверку полагаться в своих workflowах... А теперь полагаться не могут. Даже сам гитхаб не может. Если бы они просто насохраняли хэши тех коммитов, то не было бы проблемы.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

23. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Denis Fateyev (ok), 17-Янв-24, 21:26

Начать с того, что такие ключи, сгенерированные самой платформой — лишь ограниченно полезны. Они не определяют автора коммита, а определяют пользователя сервиса (доверие в рамках одной платформы). Если человек идёт на другую платформу, то там ему генерируют другой ключ — кроссплатформенного доверия здесь нет, и вопросы по критичным воркфлоу и проверкам должны начинаться уже здесь.
Хранить хэши коммитов отдельно не нужно: есть дата в коммите и дата отзыва ключа — всё, что позже, по воркфлоу декларируется невалидным. Понятно, что это неудобно и требует телодвижений. Но когда платформа произвольно генерирует ключи — то стоит ожидать, что и отзывает их она по своему усмотрению. Если нужно контролируемый воркфлоу — то ключ создаётся на своей стороне и используется при коммитах, в платформы вгружается публичная часть. Его можно отзывать контролируемо.

Ответить | Правка | Наверх | Cообщить модератору

19. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от scriptkiddis (?), 17-Янв-24, 20:18

>Либо, в анонсе нам дали не всю информации.
Ты думаешь что тут есть часть инфлрмации правдивой. Мнда... как все пичально

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

9. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Аноним (9), 17-Янв-24, 16:16

PGP или GPG?

Ответить | Правка | Наверх | Cообщить модератору

13. "GitHub обновил GPG-ключи из-за уязвимости, приводящей к утеч..." +2 +/–

Сообщение от Аноним (13), 17-Янв-24, 18:12

Пора вводить шестифакторную авторизацию.

Ответить | Правка | Наверх | Cообщить модератору

24. "GitHub обновил GPG-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Аноним (24), 17-Янв-24, 23:23

Я один подумал, что ущербна сама идея централизованного храниния секретных ключей на GitHub?
Ведь именно по этой причине появилась эта уязвимость...

Ответить | Правка | Наверх | Cообщить модератору

27. "GitHub обновил GPG-ключи из-за уязвимости, приводящей к утеч..." +/–

Сообщение от Аноним (28), 18-Янв-24, 00:23

Ущербны любые децентрализованные системы, а централизация и строгая вертикаль - путь к порядку и стабильности.

Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором +/–

Сообщение от Аноним (-), 18-Янв-24, 06:51

Следить за людьми тредно да?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

5. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+3 +/–
Сообщение от Аноним (5), 17-Янв-24, 14:09
Что опять руби виноват?
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Аноним (28), 18-Янв-24, 00:25
	Все равно что предъявить вину молотка криворукому плотнику. Язык это всего лишь инструмент.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Бывалый смузихлёб (?), 18-Янв-24, 11:17
	Топор с надпиленным топорищем - тоже, вроде бы, топор
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	–3 +/–
Сообщение от Аноним (6), 17-Янв-24, 14:27
>Начиная с 23 января все новые коммиты, подписанные прошлым ключом, не будут помечены на сайте GitHub как верифицированные. >Замена внутренних ключей привела к нарушению работы некоторых сервисов с 27 по 29 декабря. Если ключ не скомпромитирован, то нафига его отзывать, нарушая функционирование. Если скомпромитирован, то почему такой поздней датой? Почему вообще подтверждённость выполненности коммита в веб-интерфейсе GitHub определяется подписью на коммите, а не наличием хэша коммита в множестве, хранимом на сервере GitHub и доступном для скачивания?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Denis Fateyev (ok), 17-Янв-24, 17:55
	> Если ключ не скомпромитирован, то нафига его отзывать, нарушая функционирование. На всякий случай перестраховались? Чтобы потом не влияло, если активность позже всё-таки обнаружат (к тому времени, ключ будет отозван). Либо, в анонсе нам дали не всю информации. В целом, спорный момент. > Почему вообще подтверждённость выполненности коммита в веб-интерфейсе GitHub определяется подписью на коммите, а не наличием хэша коммита в множестве, хранимом на сервере GitHub и доступном для скачивания? Первичная сущность здесь git, а веб-инструменты только обвязка над ним. «Подтвержденность выполненности коммита» не определяется подписью в коммите (подписи может и не быть). Отдельно какую-то несовместимую с git-ом историю хэшей хранить нет смысла, если весь нужный функционал можно сделать средствами самого git.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	–2 +/–
	Сообщение от Аноньимъ (ok), 17-Янв-24, 18:28
	> Первичная сущность здесь git, а веб-инструменты только обвязка над ним. Ну это не верно в корне. Без этой обвязки гит это смешное скопление костылей никому кроме "кернел девелоперс" рассылающих патчи емейлами ненужное. В то-же время, поменяй гитхаб гиб на нечто иное, даже не очень совместимое - ничего не измениться, особо упоротые "громкие голоса" поноют и схавают, а энтерпрайзу вообще пофиг, лишь бы была двухкнопочная миграция.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Аноним (5), 17-Янв-24, 19:40
	Чего же все меркуриалом не пользуются он же во всем лучше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+1 +/–
	Сообщение от User (??), 17-Янв-24, 20:43
	Ну вот bitbucket поменял меркуриал на git - что, все пользователи разбежались? Проделает такой же кунштюк github - так же ничего не изменится. ВоЙены будут воевать, борцуны - бороцца, а индус-триальные погроммизды - погроммиздить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Denis Fateyev (ok), 17-Янв-24, 20:47
	> Без этой обвязки гит это смешное скопление костылей никому кроме "кернел девелоперс" рассылающих патчи емейлами ненужное. Обвязка дополняет git, и вообще опциональна. Она красивая, удобная и прочее — но быстро потеряет популярность, если убрать git. Думаю, практически проверять GitHub это не будет.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	18. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Аноним (18), 17-Янв-24, 19:51
	>Первичная сущность здесь git, а веб-инструменты только обвязка над ним. «Подтвержденность выполненности коммита» не определяется подписью в коммите (подписи может и не быть). Отозванный ключ - это ключ, которым сам GitHub подписывал коммиты, когда они были сделаны в его веб-интерфейсе, как-бы подтверждая, что его сделал тот аккаунт, который написан в авторах коммита. Так можно было проверить историю локально: скачать ключ, и проверить. Но история связана цепочкой хэшей, и хэшируется в том числе подпись. Ключ был скомпрометирован - все подписи стали невалидными. А ведь кто-то мог на эту проверку полагаться в своих workflowах... А теперь полагаться не могут. Даже сам гитхаб не может. Если бы они просто насохраняли хэши тех коммитов, то не было бы проблемы.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	23. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Denis Fateyev (ok), 17-Янв-24, 21:26
	Начать с того, что такие ключи, сгенерированные самой платформой — лишь ограниченно полезны. Они не определяют автора коммита, а определяют пользователя сервиса (доверие в рамках одной платформы). Если человек идёт на другую платформу, то там ему генерируют другой ключ — кроссплатформенного доверия здесь нет, и вопросы по критичным воркфлоу и проверкам должны начинаться уже здесь. Хранить хэши коммитов отдельно не нужно: есть дата в коммите и дата отзыва ключа — всё, что позже, по воркфлоу декларируется невалидным. Понятно, что это неудобно и требует телодвижений. Но когда платформа произвольно генерирует ключи — то стоит ожидать, что и отзывает их она по своему усмотрению. Если нужно контролируемый воркфлоу — то ключ создаётся на своей стороне и используется при коммитах, в платформы вгружается публичная часть. Его можно отзывать контролируемо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от scriptkiddis (?), 17-Янв-24, 20:18
	>Либо, в анонсе нам дали не всю информации. Ты думаешь что тут есть часть инфлрмации правдивой. Мнда... как все пичально
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору

9. "GitHub обновил PGP-ключи из-за уязвимости, приводящей к утеч..."	+/–
Сообщение от Аноним (9), 17-Янв-24, 16:16
PGP или GPG?
Ответить \| Правка \| Наверх \| Cообщить модератору

13. "GitHub обновил GPG-ключи из-за уязвимости, приводящей к утеч..."	+2 +/–
Сообщение от Аноним (13), 17-Янв-24, 18:12
Пора вводить шестифакторную авторизацию.
Ответить \| Правка \| Наверх \| Cообщить модератору

24. "GitHub обновил GPG-ключи из-за уязвимости, приводящей к утеч..."	+/–
Сообщение от Аноним (24), 17-Янв-24, 23:23
Я один подумал, что ущербна сама идея централизованного храниния секретных ключей на GitHub? Ведь именно по этой причине появилась эта уязвимость...
Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "GitHub обновил GPG-ключи из-за уязвимости, приводящей к утеч..."	+/–
	Сообщение от Аноним (28), 18-Янв-24, 00:23
	Ущербны любые децентрализованные системы, а централизация и строгая вертикаль - путь к порядку и стабильности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. Скрыто модератором	+/–
	Сообщение от Аноним (-), 18-Янв-24, 06:51
	Следить за людьми тредно да?
	Ответить \| Правка \| Наверх \| Cообщить модератору