GitHub устранил критическую уязвимость за рекордные шесть часов

Недавно была обнаружена критическая уязвимость в инфраструктуре GitHub, которая могла позволить злоумышленникам выполнять произвольный код на серверах платформы. Исследователи из Wiz Research выявили, что уязвимость связана с обработкой команд git push, что создало потенциальную угрозу для миллионов репозиториев, как публичных, так и частных. Уязвимость была вызвана недостаточной проверкой данных, передаваемых клиентом в формате "ключ-значение". Это позволило злоумышленникам вставлять специальные символы, что в свою очередь дало возможность обходить изоляцию и выполнять команды на серверах GitHub. Главный специалист по безопасности GitHub, Алексис Уэйлс, сообщил, что команда безопасности быстро отреагировала на отчет о найденной уязвимости. Всего через 40 минут после получения информации уязвимость была воспроизведена и подтверждена. Исправление было разработано и внедрено менее чем за два часа. Данная ситуация подчеркивает важность быстрого реагирования на угрозы безопасности в крупных IT-компаниях. Несмотря на то что уязвимость была признана критической и затронула практически всех пользователей GitHub, следов ее эксплуатации в реальной среде не обнаружено. Это говорит о том, что, хотя угроза была серьезной, она не была использована злоумышленниками. В результате инцидента GitHub выпустил патчи для своих облачных и серверных решений, что позволяет пользователям уверенно продолжать работу с платформой, зная, что уязвимость была оперативно устранена.