💳 Trustee Plus: розраховуйся криптою за допомогою платіжної картки. Ліміт: 50 000 євро 🚀

GitHub виправив уразливість в Enterprise Server, яка отримала 10 із 10 балів за шкалою CVSS

Платформа хостингу коду GitHub випустила виправлення для критичної вразливості, що давала змогу отримати несанкціонований доступ до екземпляра Enterprise Server без попередньої автентифікації. 

Залишити коментар
GitHub виправив уразливість в Enterprise Server, яка отримала 10 із 10 балів за шкалою CVSS

Платформа хостингу коду GitHub випустила виправлення для критичної вразливості, що давала змогу отримати несанкціонований доступ до екземпляра Enterprise Server без попередньої автентифікації. 

Проблема обходу автентифікації, що відстежується як CVE-2024-4985 (оцінка CVSS 10/10), впливає на екземпляри  Enterprise Server, які використовують автентифікацію єдиного входу SAML (SSO) і мають увімкнену додаткову функцію зашифрованих тверджень, пише SecurityWeek.

Платформа, що належить Microsoft, пояснює, що зловмисник, який використовує цю помилку, «може підробити SAML-відповідь на запит та/або отримати доступ до користувача з правами адміністратора».

Ця вразливість вплинула на всі версії GitHub Enterprise Server до 3.13.0. 

Однак, як повідомляє GitHub, оскільки зашифровані твердження не ввімкнені за замовчуванням, екземпляри, що використовують автентифікацію SAML SSO без цієї функції, не зазнали шкоди. Екземпляри Enterprise Server, які не використовують SAML SSO, також не постраждали.

Платформа хостингу коду виправила уразливість у версіях Enterprise Server 3.9.15, 3.10.12, 3.11.10 та 3.12.4.

Враховуючи серйозність CVE-2024-4985, користувачам рекомендується якнайшвидше оновити свої GitHub Enterprise Server до виправленої версії.

«Максимальний рейтинг серйозності 10 із 10 ставить користувачів таких версій під неймовірно високий ризик зломів зловмисниками. GitHub випустив термінове виправлення не просто так — користувачі їхнього програмного забезпечення для корпоративних серверів повинні пріоритетно встановити його та будь-які інші виправлення критичних вразливостей, поки не стало занадто пізно», — сказав віцепрезидент компанії з кібербезпеки Hackuity Сильвен Кортес. 

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
GitHub представляє Copilot Workspace  — середовище для розробників. Як працює сервіс?
GitHub представляє Copilot Workspace — середовище для розробників. Як працює сервіс?
По темi
GitHub представляє Copilot Workspace — середовище для розробників. Як працює сервіс?
GitHub запускає новий інструмент на основі ШІ для автоматичного усунення вразливості коду
GitHub запускає новий інструмент на основі ШІ для автоматичного усунення вразливості коду
По темi
GitHub запускає новий інструмент на основі ШІ для автоматичного усунення вразливості коду
UPD. Шахраї крадуть акаунти розробників на GitHub. Ось як працює нова схема
UPD. Шахраї крадуть акаунти розробників на GitHub. Ось, як працює нова схема
По темi
UPD. Шахраї крадуть акаунти розробників на GitHub. Ось, як працює нова схема
Читайте також
Чи може AI замінити кодерів: ось які завдання готові віддати штучному інтелекту українські айтішники
Чи може AI замінити кодерів: ось які завдання готові віддати штучному інтелекту українські айтішники
Чи може AI замінити кодерів: ось які завдання готові віддати штучному інтелекту українські айтішники
GitHub запровадив розширення Copilot, що за допомогою штучного інтелекту може писати код вслід за вже написаним рядком.  І це не перша розробка в цьому полі. Ми запитали розробників, керівників, кодерів та всіх, хто долучений до цієї теми, чи може штучний інтелект замінити людину, що можна довірити машині, та чи не підштовхне це працедавців до звільнень. На опитання відгукнулись 25 респондентів і їх відповіді нас зацікавили.
Штучний інтелект допомагатиме розробникам кодувати. GitHub запустив сервіс Copilot на AI за $10 на місяць
Штучний інтелект допомагатиме розробникам кодувати. GitHub запустив сервіс Copilot на AI за $10 на місяць
Штучний інтелект допомагатиме розробникам кодувати. GitHub запустив сервіс Copilot на AI за $10 на місяць
Спеціалісти GitHub від Microsoft розробили та запустили сервіс Copilot, що за допомогою штучного інтелекту додає пропозиції коду на основі попередньої строки або коментаря. Версія загальнодоступна для всіх розробників за $10 на місяць або $100 на рік. 
Сервіс для IT-проєктів GitHub почав блокування користувачів з рф
Сервіс для IT-проєктів GitHub почав блокування користувачів з рф
Сервіс для IT-проєктів GitHub почав блокування користувачів з рф
Українському інженеру SoftServe запропонували проєкт зі створення аналога Zoom і Git платформ для рф. Як думаєте, що він відповів?
Українському інженеру SoftServe запропонували проєкт зі створення аналога Zoom і Git платформ для рф. Як думаєте, що він відповів?
Українському інженеру SoftServe запропонували проєкт зі створення аналога Zoom і Git платформ для рф. Як думаєте, що він відповів?

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.