GitHub выпустил обновление, исправляющее критическую уязвимость в своем GitHub Enterprise Server (GHES) с максимальным баллом CVSS 10.
Платформа разработчиков, принадлежащая Microsoft, объяснила на этой неделе, что CVE-2024-4985 была обнаружена в рамках программы GitHub Bug Bounty.
Она описана как уязвимость обхода аутентификации, которая может обеспечить несанкционированный доступ к целевому экземпляру без необходимости предварительной аутентификации. Это влияет на все версии GHES до 3.13.0.
Однако конфигурация GHES будет определять, подвержен ли он потенциальному взлому, поскольку затрагиваются только те, кто использует дополнительные зашифрованные утверждения и систему единого входа SAML, поясняет GitHub.
«В случаях, когда используется аутентификация SAML SSO с дополнительной функцией зашифрованных утверждений, злоумышленник может подделать ответ SAML для предоставления и/или получения доступа к пользователю с правами администратора», — отмечается в нем.
«Обратите внимание, что зашифрованные утверждения не включены по умолчанию. Экземпляры, не использующие единый вход SAML или использующие аутентификацию единого входа SAML без зашифрованных утверждений, не затрагиваются. Использование этой уязвимости позволит получить несанкционированный доступ к экземпляру без необходимости предварительной аутентификации».
Узнайте больше об угрозах GitHub: миллионы людей сталкиваются с риском взлома репозиториев GitHub
GHES — это популярная платформа с самостоятельным размещением, которая позволяет организациям создавать и поставлять собственное программное обеспечение с использованием контроля версий Git, API-интерфейсов, инструментов повышения производительности и совместной работы, а также сторонних интеграций.
Вице-президент Hackuity по стратегии Сильвен Кортес предупредил, что показатель CVSS, равный 10, означает, что пользователи подвергаются «невероятно высокому риску» взлома сети злоумышленниками.
«Мы знаем, что установка исправлений по-прежнему является проблемой для многих организаций, но эта последняя уязвимость является еще одним ярким примером того, почему команды безопасности должны быть в курсе наиболее распространенных проблем в своей сети», — добавил он.
«GitHub выпустил срочное исправление не просто так — пользователи своего программного обеспечения Enterprise Server должны уделить первоочередное внимание внедрению этого и любых других исправлений критических уязвимостей, пока не стало слишком поздно».
Ошибка исправлена в версиях GHES 3.9.15, 3.10.12, 3.11.10 и 3.12.4.
2024-05-23 09:15:00
1716456967
#GitHub #исправляет #ошибку #максимальной #серьезности #на #корпоративном #сервере
