💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉
Наталя ХандусенкоГаряченьке
22 серпня 2024, 12:52
2024-08-22
GitHub виправив нову критичну помилку в GitHub Enterprise Server
GitHub випустив виправлення для усунення трьох вразливостей. Зокрема критичної помилки, яка може дозволити зловмиснику отримати несанкціонований доступ до облікового запису користувача з правами адміністратора, а потім завдати шкоди сховищам коду. Найсерйозніша з уразливостей отримала ідентифікатор CVE CVE-2024-6800 і має оцінку CVSS 9,5.
Уразливість полягає в SAML-аутентифікації GHES і дозволяє зловмисникам з доступом до мережі підробляти SAML-відповіді, що потенційно надає несанкціонованому користувачеві доступ до адміністрування сайту без попередньої автентифікації.
«На екземплярах GitHub Enterprise Server, які використовують SAML-аутентифікацію єдиного входу (SSO) з певними IdP, що використовують загальнодоступні підписані метадані федерації XML, зловмисник може підробити SAML-відповідь для надання та/або отримати доступ до облікового запису користувача з правами адміністратора сайту», — йдеться в повідомленні GitHub.
Всі три уразливості були виправлені у версіях GHES 3.13.3, 3.12.8, 3.11.14 та 3.10.16.
Про цю вразливість разом із двома іншими, виправленими у версії 3.13.3, було повідомлено через програму GitHub Bug Bounty.
Обидва інші виправлені недоліки мають середній рівень серйозності.
CVE-2024-7711 може дозволити зловмиснику оновити назву, правонаступників та мітки будь-якого випуску в публічному репозиторії — ключове слово тут «публічний». Приватні та внутрішні репозиторії не зачіпає ця помилка, яка отримала рейтинг CVSS 5.3.
CVE-2024-6337 — уразливість з рейтингом 5.9, яка може дозволити зловмиснику розкрити вміст випуску з приватного репозиторію за допомогою додатку GitHub з дозволами 'content: read' та 'pull_request_write: write'.
Організаціям, які використовують вразливу версію GHES, розміщену на власному хостингу, настійно рекомендується оновити її до останньої версії, щоб захиститися від потенційних загроз безпеці.
Чи може AI замінити кодерів: ось які завдання готові віддати штучному інтелекту українські айтішники
GitHub запровадив розширення Copilot, що за допомогою штучного інтелекту може писати код вслід за вже написаним рядком. І це не перша розробка в цьому полі.
Ми запитали розробників, керівників, кодерів та всіх, хто долучений до цієї теми, чи може штучний інтелект замінити людину, що можна довірити машині, та чи не підштовхне це працедавців до звільнень. На опитання відгукнулись 25 респондентів і їх відповіді нас зацікавили.
Штучний інтелект допомагатиме розробникам кодувати. GitHub запустив сервіс Copilot на AI за $10 на місяць
Спеціалісти GitHub від Microsoft розробили та запустили сервіс Copilot, що за допомогою штучного інтелекту додає пропозиції коду на основі попередньої строки або коментаря. Версія загальнодоступна для всіх розробників за $10 на місяць або $100 на рік.