Github Enterprise Server: Saldırganlar kimlik doğrulamayı atlayabilir

Saberie

Active member
Github örneklerini Github Enterprise Server ile kendileri barındıran yöneticilerin temel yazılımı hızlı bir şekilde güncellemesi gerekir. Aksi takdirde saldırganlar diğer şeylerin yanı sıra “eleştirmen“Güvenlik açığını uygulayın.


Duyuru



Kimlik doğrulaması bozuldu


Sunucuları korumak için korumalı sürümler mevcuttur 3.11.16, 3.12.10, 3.13.5 VE 3.14.2 indirmeye hazır. Önceki sürümler artık desteklenmemektedir; Bu noktada gelecekte güvenlik güncellemelerini almaya devam etmek için bir güncelleme yapılması gerekiyor. Sürüm notlarına göre, kritik güvenlik açığı (CVE-2024-9487), benzer bir güvenlik açığına (CVE-2024-4985) yönelik bir düzeltmeden kaynaklanıyoreleştirmen“) bu yılın mayıs ayından bu yana.

Yalnızca kimlik doğrulama için SAML SSO'yu kullanan örnekler etkilenir. Ayrıca, geliştiricilere göre varsayılan olarak durum böyle olmayan Şifrelenmiş İddialar özelliğinin de etkinleştirilmesi gerekir. Bunun ötesinde, saldırganların ağ erişimine ve imzalı bir SAML yanıtına ihtiyacı vardır. Bu gereksinimler karşılanırsa saldırganlar, yetersiz sertifika kontrolleri nedeniyle kimlik doğrulamayı atlayabilir. Bu, yetkisiz erişimin mümkün olduğu anlamına gelir.

Olası veri sızıntısı


Ayrıca geliştiriciler ikinci bir güvenlik açığını (CVE-2024-9539″) keşfettiler.orta“) kapatıldı. Kurbanlar özel olarak oluşturulmuş bir URL'ye tıklarsa bilgiler sızdırılabilir.

Github yetkilileri, her iki güvenlik açığının da Github'un hata ödül programı aracılığıyla bildirildiğini söylüyor. Daha önce saldırı olup olmadığı henüz bilinmiyor. Ayrıca yöneticilerin halihazırda güvenliği ihlal edilmiş olan sunucuları tanımlamak için hangi ölçümleri kullanabileceği de belirsizdir.




(des)
 
Üst