ஜிட் புஷ் பைப்லைனைப் பாதுகாத்தல்: முக்கியமான ரிமோட் குறியீடு செயல்படுத்தல் பாதிப்புக்கு பதில்

மார்ச் 4, 2026 அன்று, Wiz இல் உள்ள ஆராய்ச்சியாளர்களிடமிருந்து, github.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud உடன் Data Cloud Residency, GitHub Enterprise க்ளவுட் மற்றும் Enterprise GitHub பயன்பாட்டுடன் பாதிப்பை ஏற்படுத்தும் ரிமோட் குறியீடு செயல்படுத்தல் பாதிப்பை விவரிக்கும் எங்கள் Bug Bounty திட்டத்தின் மூலம் பாதிப்பு அறிக்கையைப் பெற்றோம். நிறுவன சேவையகம்.

இரண்டு மணி நேரத்திற்குள், நாங்கள் கண்டறிதலை சரிபார்த்தோம், github.com இல் ஒரு தீர்வைப் பயன்படுத்தினோம், மேலும் தடயவியல் விசாரணையைத் தொடங்கினோம். அது சுரண்டல் அல்ல.

இந்த இடுகையில், என்ன நடந்தது, நாங்கள் எவ்வாறு பதிலளித்தோம் மற்றும் எதிர்காலத்தில் இதுபோன்ற சிக்கல்களைத் தடுக்க என்ன செய்கிறோம் என்பதைப் பகிர விரும்புகிறோம்.

பிழை பவுண்டி அறிக்கையைப் பெறுகிறது

பிழை பவுண்டி அறிக்கையானது, ஒரு களஞ்சியத்திற்கான புஷ் அணுகலைக் கொண்ட எந்தவொரு பயனருக்கும் தாங்களே உருவாக்கிய களஞ்சியத்தை உள்ளடக்கிய ஒரு வழியை விவரிக்கிறது, அவர்கள் நிர்வகிக்கும் GitHub சேவையகத்தில் தன்னிச்சையான கட்டளை செயல்படுத்தலைச் செய்யலாம். git push அறுவை சிகிச்சை. தாக்குதலுக்கு ஒரே ஒரு கட்டளை தேவை: git push சுத்திகரிக்கப்படாத தன்மையைப் பயன்படுத்தி உருவாக்கப்பட்ட புஷ் விருப்பத்துடன்.

எங்கள் பாதுகாப்புக் குழு உடனடியாக பிழை வரவு அறிக்கையை சரிபார்க்கத் தொடங்கியது. 40 நிமிடங்களுக்குள், பாதிப்பை உள்நாட்டில் மீண்டும் உருவாக்கி தீவிரத்தை உறுதிப்படுத்தினோம். இது உடனடி நடவடிக்கை தேவைப்படும் முக்கியமான பிரச்சினை.

பாதிப்பைப் புரிந்துகொள்வது

ஒரு பயனர் GitHub க்கு குறியீட்டை அழுத்தும்போது, செயல்பாடு பல உள் சேவைகள் வழியாக செல்கிறது. இந்த செயல்பாட்டின் ஒரு பகுதியாக, புஷ் பற்றிய மெட்டாடேட்டா, களஞ்சிய வகை மற்றும் அது செயலாக்கப்பட வேண்டிய சூழல் போன்றவை, உள் நெறிமுறையைப் பயன்படுத்தி சேவைகளுக்கு இடையே அனுப்பப்படுகிறது.

இந்த மெட்டாடேட்டாவில் பயனர் வழங்கிய ஜிட் புஷ் விருப்பங்கள் எவ்வாறு கையாளப்பட்டன என்பதைப் பாதிப்பு பாதித்தது. புஷ் விருப்பங்கள் என்பது ஜிட்டின் வேண்டுமென்றே அம்சமாகும், இது புஷ் செய்யும் போது சேவையகத்திற்கு முக்கிய மதிப்பு சரங்களை அனுப்ப வாடிக்கையாளர்களை அனுமதிக்கிறது. இருப்பினும், பயனர் வழங்கிய மதிப்புகள் போதுமான சுத்திகரிப்பு இல்லாமல் உள் மெட்டாடேட்டாவில் இணைக்கப்பட்டன. உள் மெட்டாடேட்டா வடிவமைப்பானது பயனர் உள்ளீட்டிலும் தோன்றக்கூடிய ஒரு டிலிமிட்டர் எழுத்தைப் பயன்படுத்தியதால், கீழ்நிலை சேவை நம்பகமான உள் மதிப்புகளாக விளக்கக்கூடிய கூடுதல் புலங்களை தாக்குபவர் செலுத்தலாம்.

பல உட்செலுத்தப்பட்ட மதிப்புகளை ஒன்றாக இணைப்பதன் மூலம், புஷ் செயலாக்கப்பட்ட சூழலை தாக்குபவர் மேலெழுத முடியும் என்பதை ஆராய்ச்சியாளர்கள் நிரூபித்துள்ளனர்.

பாதிப்பு பதில்

மார்ச் 4, 2026 அன்று மாலை 5:45 UTCக்கு மூலக் காரணம் கண்டறியப்பட்ட நிலையில், எங்கள் பொறியியல் குழு, github.com இல் அதே நாளில் இரவு 7:00 மணிக்கு UTC இல் ஒரு தீர்வை உருவாக்கி பயன்படுத்தியது. பிழைத்திருத்தம் பயனர் வழங்கிய புஷ் விருப்ப மதிப்புகள் சரியாக சுத்திகரிக்கப்படுவதை உறுதி செய்கிறது மற்றும் உள் மெட்டாடேட்டா புலங்களை இனி பாதிக்காது.

GitHub Enterprise Serverக்கு, அனைத்து ஆதரிக்கப்படும் பதிப்புகளுக்கும் (3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4, 3.20.0 அல்லது அதற்குப் பிறகு) இணைப்புகளைத் தயாரித்து CVE-2026-3854. இவை இன்று கிடைக்கின்றன மற்றும் அனைத்து GHES வாடிக்கையாளர்களையும் உடனடியாக மேம்படுத்துமாறு நாங்கள் கடுமையாக பரிந்துரைக்கிறோம்.

சுரண்டலுக்கான விசாரணை

github.com இல் உடனடி தீர்வைக் கொண்டு, ஆராய்ச்சியாளர்கள் புகாரளிப்பதற்கு முன்பு வேறு யாராவது இந்த பாதிப்பைக் கண்டுபிடித்து சுரண்டினார்களா என்ற அழுத்தமான கேள்விக்கு நான் சென்றேன்.

இந்த பாதிப்பின் முக்கிய சொத்து இந்த கேள்விக்கு பதிலளிக்கும் எங்கள் திறனில் எங்களுக்கு நம்பிக்கையை அளித்தது. சுரண்டல், github.com இல் இயல்பான செயல்பாட்டின் போது பயன்படுத்தப்படாத ஒரு குறியீடு பாதையை எடுக்க சர்வரை கட்டாயப்படுத்துகிறது. இது ஒரு தாக்குபவர் தவிர்க்கவோ அல்லது அடக்கவோ முடியாது, ஏனெனில் இது ஊசி எவ்வாறு செயல்படுகிறது என்பதன் உள்ளார்ந்த விளைவு.

நாங்கள் இந்தப் பாதையைப் பதிவுசெய்து, இந்த முரண்பாடான குறியீடு பாதையின் ஏதேனும் நிகழ்வுகளுக்கு எங்கள் டெலிமெட்ரியை வினவினோம். முடிவுகள் தெளிவாக இருந்தன:

ஒவ்வொரு நிகழ்வும் Wiz ஆராய்ச்சியாளர் சோதனை நடவடிக்கையுடன் தொடர்புடையது.
இந்த குறியீடு பாதையை வேறு எந்த பயனரும் அல்லது கணக்கும் தூண்டவில்லை.
இந்த பாதிப்பின் விளைவாக வாடிக்கையாளர் தரவு எதுவும் அணுகப்படவில்லை, மாற்றியமைக்கப்படவில்லை அல்லது வெளியேற்றப்படவில்லை.

GHES வாடிக்கையாளர்களுக்கு, சுரண்டலுக்கு உங்கள் நிகழ்விற்கு புஷ் அணுகலுடன் அங்கீகரிக்கப்பட்ட பயனர் தேவை. முன்னெச்சரிக்கையாக உங்கள் அணுகல் பதிவுகளை மதிப்பாய்வு செய்ய பரிந்துரைக்கிறோம்.

ஆழத்தில் பாதுகாப்பு

நுழைவாயில்களைச் சுத்தப்படுத்துவதில் உள்ள உடனடிச் சிக்கலைத் தீர்ப்பதற்கு அப்பால், எங்கள் விசாரணையில் பகிர்ந்து கொள்ளத் தகுந்த கூடுதல் கண்டுபிடிப்பு தெரியவந்தது.

சுரண்டல் ஒரு பகுதியாக வேலை செய்தது, ஏனெனில் சேவையகம் இயங்கும் சூழலுக்கு நோக்கம் இல்லாத குறியீட்டு பாதையை அணுகியது. இந்த குறியீட்டு பாதை சேவையக கொள்கலன் படத்தின் ஒரு பகுதியாக வட்டில் இருந்தது, இது வேறு தயாரிப்பு உள்ளமைவில் மட்டுமே பயன்படுத்தப்பட வேண்டும். ஒரு பழைய வரிசைப்படுத்தல் முறை இந்த குறியீட்டை சரியாக விலக்கியுள்ளது, ஆனால் வரிசைப்படுத்தல் மாதிரி மாறியபோது, விலக்கு மேற்கொள்ளப்படவில்லை.

ஆழமான பாதுகாப்பு முக்கியமானது என்பதை இது ஒரு பயனுள்ள நினைவூட்டலாகும். உள்ளீடு சுத்திகரிப்பு பிழைத்திருத்தம் முக்கிய தீர்வாகும், ஆனால் அது இருக்கக்கூடாத சூழல்களில் இருந்து தேவையற்ற குறியீடு பாதையையும் அகற்றியுள்ளோம். எதிர்காலத்தில் இதேபோன்ற ஊசி பாதிப்பு கண்டறியப்பட்டாலும், இந்த கூடுதல் கடினப்படுத்துதல் தாக்குபவர் அதைக் கொண்டு என்ன செய்ய முடியும் என்பதைக் கட்டுப்படுத்தும்.

நீங்கள் என்ன செய்ய வேண்டும்

கிட்ஹப் எண்டர்பிரைஸ் கிளவுட், நிறுவன நிர்வகிக்கப்படும் பயனர்களுடன் GitHub எண்டர்பிரைஸ் கிளவுட், டேட்டா ரெசிடென்சியுடன் கூடிய கிட்ஹப் எண்டர்பிரைஸ் கிளவுட்மற்றும் github.com மார்ச் 4, 2026 அன்று திருத்தப்பட்டது. இவற்றில் எதையும் பயன்படுத்துபவர்களிடமிருந்து எந்த நடவடிக்கையும் தேவையில்லை.

முன்பு குறிப்பிட்டபடி, சுரண்டல் கிட்ஹப் எண்டர்பிரைஸ் சர்வர் உங்கள் நிகழ்வில் புஷ் அணுகலுடன் அங்கீகரிக்கப்பட்ட பயனர் தேவை. நீங்கள் மதிப்பாய்வு செய்ய பரிந்துரைக்கிறோம் /var/log/github-audit.log கொண்ட புஷ் செயல்பாடுகளுக்கு ; புஷ் விருப்பங்களில். புதுப்பிப்புகள் பின்வரும் பதிப்புகளில் கிடைக்கின்றன:

கிட்ஹப் எண்டர்பிரைஸ் சர்வர் 3.14.25 அல்லது அதற்குப் பிறகு
கிட்ஹப் எண்டர்பிரைஸ் சர்வர் 3.15.20 அல்லது அதற்குப் பிறகு
கிட்ஹப் எண்டர்பிரைஸ் சர்வர் 3.16.16 அல்லது அதற்குப் பிறகு
GitHub Enterprise Server 3.17.13 அல்லது அதற்குப் பிறகு
கிட்ஹப் எண்டர்பிரைஸ் சர்வர் 3.18.7 அல்லது அதற்குப் பிறகு
கிட்ஹப் எண்டர்பிரைஸ் சர்வர் 3.19.4 அல்லது அதற்குப் பிறகு
கிட்ஹப் எண்டர்பிரைஸ் சர்வர் 3.20.0 அல்லது அதற்குப் பிறகு

கூடிய விரைவில் சமீபத்திய பேட்ச் பதிப்பிற்கு மேம்படுத்துமாறு நாங்கள் கடுமையாக பரிந்துரைக்கிறோம். விவரங்களுக்கு GHES வெளியீட்டு குறிப்புகளைப் பார்க்கவும்.

இந்த பாதிப்புக்கு CVE-2026-3854 ஒதுக்கப்பட்டுள்ளது.

நன்றி

இந்த பாதிப்பு Wiz இல் உள்ள ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டு பொறுப்புடன் வெளிப்படுத்தப்பட்டது. அவர்களின் அறிக்கை முழுமையானதாகவும், தாக்கத்தை தெளிவாக வெளிப்படுத்தியதாகவும், சரிபார்ப்பிலிருந்து சரிசெய்தலுக்கு விரைவாக செல்ல அனுமதித்தது. இந்த கண்டுபிடிப்பு எங்கள் பிழை பவுண்டி திட்டத்தின் வரலாற்றில் மிகப்பெரிய வெகுமதிகளில் ஒன்றைப் பெறும், இது ஒரு தசாப்தத்திற்கும் மேலாக எங்கள் பாதுகாப்பு திட்டத்தின் மூலக்கல்லாகும்.

எழுதியவர்

அலெக்சிஸ் வேல்ஸ் கிட்ஹப்பின் தலைமை தகவல் பாதுகாப்பு அதிகாரி. GitHub இயங்குதளம், தயாரிப்புகள் மற்றும் திறந்த மூல சமூகத்தைப் பாதுகாப்பதில் கவனம் செலுத்தும் பாதுகாப்பு நிபுணர்களின் குழுவை அவர் வழிநடத்துகிறார், GitHub இல் மென்பொருளை பாதுகாப்பாக உருவாக்க மற்றும் வரிசைப்படுத்த உலகளவில் 150 மில்லியனுக்கும் அதிகமான டெவலப்பர்களுக்கு அதிகாரம் அளித்தார்.

பாதுகாப்புத் துறை மற்றும் உள்நாட்டுப் பாதுகாப்புத் துறையின் இணையப் பாதுகாப்பு மற்றும் உள்கட்டமைப்பு ஏஜென்சி (CISA) ஆகியவற்றில் உள்ள பதவிகள் உட்பட முக்கியமான தேசிய மற்றும் தனியார் துறை நெட்வொர்க்குகளைப் பாதுகாப்பதில் அலெக்சிஸுக்கு 20 வருட அனுபவம் உள்ளது. இந்த அனுபவம், நாம் அன்றாடம் பயன்படுத்தும் தொழில்நுட்பத்தை அச்சுறுத்தும் கடினமான பாதுகாப்பு சவால்களைத் தீர்ப்பதற்கு பொது மற்றும் தனியார் துறை ஒத்துழைப்புக்கான அவரது ஆர்வத்தைத் தூண்டியது.