GitHub выплатила $18 000 человеку, обнаружившему RCE-уязвимость в GitHub Enterprise

Серьёзный баг мешал работе GitHub Enterprise и создавал потенциальную опасность взлома консоли управления. За его обнаружение компания GitHub выплатила Маркусу Фенске кругленькую сумму в размере 18 тысяч долларов.

По словам самого Маркуса Фенске, независимого исследователя из Германии, GitHub наградила его данной суммой за обнаружение серьёзной уязвимости в системе безопасности GitHub Enterprise. Это версия GitHub, предназначенная для корпоративных клиентов, которая отличается от обычной более строгим контролем над правами доступа к проектам.

В своём блоге Фенске написал, что GitHub Enterprise использует по большей части тот же код, что и основная версия, но при этом ему удалось взломать консоль управления с помощью комбинации двух багов. Теоретически, у потенциальных взломщиков была возможность удалённого исполнения кода, а значит, и хищения данных или перехвата сеанса.

Что же вызвало подобную проблему?

Система безопасности была под угрозой из-за использования статического секретного ключа для шифрования подписи cookie сеанса вместо случайно сгенерированного набора чисел. Подобная система изначально использовалась только для тестирования и разработки, но её так и не заменили.

Почётная награда

Впервые об уязвимости системы Фенске сообщил компании GitHub 26 января, за что получил 10 тысяч долларов уже 31 числа того же месяца. После исправления багов в новой версии GitHub Enterprise 2.8.7, выпущенной в марте, команда GitHub дополнительно выплатила Маркусу ещё 8 тысяч долларов и удостоила его места в Зале славы GitHub.

Фенске отметил: