GitHub.com roteert keys wegens lek waardoor credentials kunnen lekken
GitHub.com heeft wegens een kwetsbaarheid waardoor aanvallers toegang tot de omgevingsvariabelen van een productiecontainer kunnen krijgen besloten om verschillende keys te roteren. Daarnaast is er een beveiligingsupdate voor het probleem in GitHub Enterprise Server (GHES) uitgebracht. De kwetsbaarheid (CVE-2024-0200) werd op 26 december op GitHub.com verholpen, waarop het platform begon om alle mogelijk blootgestelde credentials te roteren.
Het roteren van de credentials op GitHub.com zorgde eind december gedurende meerdere dagen voor verstoringen op het platform. Volgens GitHub heeft het roteren van de meeste keys geen gevolgen voor klanten, op een aantal na die het gisteren roteerde en extra handelingen kunnen vereisen. Zo is de GitHub commit signing key die wordt gebruikt voor het signen van commits op GitHub verlopen. Sinds gisteren wordt er voor alle commits een nieuwe key gebruikt. Vanaf 23 januari zullen nieuwe commits die nog met de vorige key zijn gesigneerd niet langer geverifieerd zijn.
Ontwikkelaars die commits op GitHub.com buiten GitHub verifiëren, waaronder verificatie in GHES, moeten de nieuwe public key in hun omgeving importeren. Tevens zijn ook keys voor GitHub Actions, GitHub Codespaces en Dependabot vervangen. Gebruikers die nog van deze keys gebruikmaken kunnen met foutmeldingen te maken krijgen. GitHub stelt dat het geen aanwijzingen heeft gevonden dat aanvallers misbruik van de kwetsbaarheid hebben gemaakt, maar het vanwege procedures in alle gevallen keys roteert wanneer een derde partij daar toegang toe kan hebben gehad.
Het beveiligingslek is zoals gezegd ook aanwezig in GitHub Enterprise Server, maar vereist daar dat een aanvaller over een bepaalde rol beschikt om het lek te kunnen misbruiken, wat volgens GitHub de kans op misbruik aanzienlijk verkleint. GitHub.com is een populair platform voor softwareontwikkelaars en softwareprojecten en is na een miljardenovername al enige tijd eigendom van Microsoft.
Die term wordt gebruikt om aan te geven dat je van een set backuptapes steeds het exemplaar met de oudste backup overschrijft. Het "roteren" geeft niet aan dat er een volgende tape wordt gepakt maar dat tapes in een vaste volgorde hergebruikt worden. Bij roteren draaien dingen rondjes en komen ze keer op keer opnieuw langs in dezelfde volgorde. Het is beeldspraak die de manier waarop backuptapes worden ingezet heel mooi in één woord vangt.
Kennelijk zijn er mensen die een woord als labeltje zien zonder zich ooit af te vragen wat voor herkomst of achtergrond het gebruik ervan heeft, en hebben dergelijke mensen gedacht dat "roteren" wel zoiets als "de volgende pakken" zal zijn en gevonden dat de term ook voor cryptografische sleutels en voor credentials toepasbaar is.
Maar oude credentials opnieuw gebruiken in een vaste volgorde is beslist niet wat hier gebeurt. Er worden splinternieuwe credentials aangemaakt en de oude worden nooit meer opnieuw gebruikt. De term "roteren" is gangbaar maar de beeldspraak klopt niet hiervoor. En het is niet zo dat er een nieuwe taal of beeldspraak voor wat er wel gebeurt verzonnen moet worden, je kan gewoon zeggen dat de credentials worden vervangen door nieuwe.
Als we bestaande woorden kunnen hergebruiken in nieuwe betekenissen zonder ons af te vragen waarom we juist dat woord toepasselijk vinden kunnen we net zo goed zeggen dat we tapes niezen en credentials perforeren. Vind je dat idioot klinken? Mee eens, maar dat is mijn punt: credentials roteren klinkt net zo idioot.
Die term wordt gebruikt om aan te geven dat je van een set backuptapes steeds het exemplaar met de oudste backup overschrijft. Het "roteren" geeft niet aan dat er een volgende tape wordt gepakt maar dat tapes in een vaste volgorde hergebruikt worden. Bij roteren draaien dingen rondjes en komen ze keer op keer opnieuw langs in dezelfde volgorde. Het is beeldspraak die de manier waarop backuptapes worden ingezet heel mooi in één woord vangt.
Kennelijk zijn er mensen die een woord als labeltje zien zonder zich ooit af te vragen wat voor herkomst of achtergrond het gebruik ervan heeft, en hebben dergelijke mensen gedacht dat "roteren" wel zoiets als "de volgende pakken" zal zijn en gevonden dat de term ook voor cryptografische sleutels en voor credentials toepasbaar is.
Maar oude credentials opnieuw gebruiken in een vaste volgorde is beslist niet wat hier gebeurt. Er worden splinternieuwe credentials aangemaakt en de oude worden nooit meer opnieuw gebruikt. De term "roteren" is gangbaar maar de beeldspraak klopt niet hiervoor. En het is niet zo dat er een nieuwe taal of beeldspraak voor wat er wel gebeurt verzonnen moet worden, je kan gewoon zeggen dat de credentials worden vervangen door nieuwe.
Als we bestaande woorden kunnen hergebruiken in nieuwe betekenissen zonder ons af te vragen waarom we juist dat woord toepasselijk vinden kunnen we net zo goed zeggen dat we tapes niezen en credentials perforeren. Vind je dat idioot klinken? Mee eens, maar dat is mijn punt: credentials roteren klinkt net zo idioot.
En omtrent de tapes was het best practice dat je tapes op meerdere fysieke locaties opsloeg Je roteerde daarom bij welke locatie welke tape had in de brandkluis en dat noemde we je raad het al tape rotatie schema.
Er zijn zoveel termen die bedenkelijk zijn als je er echt over nadenkt en nog meer waar men niet meer feitelijk mee te maken heeft. Er zullen weinig nieuwe generatie ITers zijn die uberhaubt ooit te maken krijgen met tapes nog. Maar het is veel verwarrender als we meerdere termen voor het zelfde gaan gebruiken. Bedoel waarom zeg je credentials sinds waneer ga je referenties vervangen bij een wachtwoord. Slaat ook nergens op echter bijna elke ITer snapt wat je bedoeld of maakt zich schuldig aan zulke versprekingen. Even de WIFI resetten. Even een Rollback uitvoeren. Snapt men uberhaubt nog waarom we tegenwoordig zeggen dat we print screen gebruiken en waarom die knop zo heet?
Als ik elke gebruiker en ITer moet gaan corrigeren op hun terminologie dan kan ik beter van baan veranderen want dan ben ik elke uur van de dag met correcties bezig kan ik je verzekeren leg je er gewoon bij neer anders wordt je gillend gek. Nog niet te hebben over de idioten die emoties gaan koppelen aan termen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
