💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉
Наталя ХандусенкоГоряченькое
22 августа 2024, 12:52
2024-08-22
GitHub виправив нову критичну помилку в GitHub Enterprise Server
GitHub випустив виправлення для усунення трьох вразливостей. Зокрема критичної помилки, яка може дозволити зловмиснику отримати несанкціонований доступ до облікового запису користувача з правами адміністратора, а потім завдати шкоди сховищам коду. Найсерйозніша з уразливостей отримала ідентифікатор CVE CVE-2024-6800 і має оцінку CVSS 9,5.
Уразливість полягає в SAML-аутентифікації GHES і дозволяє зловмисникам з доступом до мережі підробляти SAML-відповіді, що потенційно надає несанкціонованому користувачеві доступ до адміністрування сайту без попередньої автентифікації.
«На екземплярах GitHub Enterprise Server, які використовують SAML-аутентифікацію єдиного входу (SSO) з певними IdP, що використовують загальнодоступні підписані метадані федерації XML, зловмисник може підробити SAML-відповідь для надання та/або отримати доступ до облікового запису користувача з правами адміністратора сайту», — йдеться в повідомленні GitHub.
Всі три уразливості були виправлені у версіях GHES 3.13.3, 3.12.8, 3.11.14 та 3.10.16.
Про цю вразливість разом із двома іншими, виправленими у версії 3.13.3, було повідомлено через програму GitHub Bug Bounty.
Обидва інші виправлені недоліки мають середній рівень серйозності.
CVE-2024-7711 може дозволити зловмиснику оновити назву, правонаступників та мітки будь-якого випуску в публічному репозиторії — ключове слово тут «публічний». Приватні та внутрішні репозиторії не зачіпає ця помилка, яка отримала рейтинг CVSS 5.3.
CVE-2024-6337 — уразливість з рейтингом 5.9, яка може дозволити зловмиснику розкрити вміст випуску з приватного репозиторію за допомогою додатку GitHub з дозволами 'content: read' та 'pull_request_write: write'.
Організаціям, які використовують вразливу версію GHES, розміщену на власному хостингу, настійно рекомендується оновити її до останньої версії, щоб захиститися від потенційних загроз безпеці.
Может AI заменить кодеров: вот какие задачи готовы отдать искусственному интеллекту украинские айтишники
GitHub ввел расширение Copilot, которое с помощью искусственного интеллекта может писать код вслед за уже написанной строчкой. И это не первая разработка в этом направлении.
Мы спросили разработчиков, руководителей, кодеров и всех, кто вовлечен в эту тему, может ли искусственный интеллект заменить человека, что можно доверить машине, и не подтолкнет ли это работодателей к увольнениям людей. На опрос откликнулись 25 респондентов и их ответы нас заинтересовали.
Искусственный интеллект будет помогать разработчикам кодить. GitHub запустил сервис Сopilot на AI за $10 в месяц
Специалисты GitHub от Microsoft разработали и запустили сервис Copilot, который с помощью искусственного интеллекта добавляет предложения кода на основе предыдущей строки или комментария. Версия общедоступна для всех разработчиков за $10 в месяц или $100 в год.