GitHub 新漏洞影响超过 4000 个仓库

关键要点

根据 The Hacker News 的报道，超过 4000 个 GitHub 仓库受到一种新漏洞的影响，该漏洞可能被攻击者利用，从而进行 仓库劫持 或称之为 repojacking 攻击。根据 Checkmarx 的报告，攻击者可以利用此漏洞，该漏洞已在本月发布的安全更新中得到修复，利用仓库创建和用户名修改之间的潜在竞争条件，逃避常用的仓库命名空间退休安全机制。

研究人员表示，将“victimuser”命名空间修改为“renameduser”会导致“victimuser/repo”仓库的退休，同时会在攻击者使用“attackeruser”用户名创建一个“repo”仓库的情况下发生，对应的攻击者随后将用户名从“attackeruser”更改为“victimuser”。Checkmarx 的安全研究员 Elad Rapoport 表示：“在 GitHub 的仓库创建和用户名重命名操作中发现这一新漏洞凸显了与 流行仓库命名空间退休 机制相关的持续风险。”

要确保您的仓库安全，建议立即检查 GitHub 提供的安全更新并进行必要的修改，以避免潜在的安全漏洞。

参考链接