💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉

GitHub виправив нову критичну помилку в GitHub Enterprise Server

GitHub випустив виправлення для усунення трьох вразливостей. Зокрема критичної помилки, яка може дозволити зловмиснику отримати несанкціонований доступ до облікового запису користувача з правами адміністратора, а потім завдати шкоди сховищам коду. Найсерйозніша з уразливостей отримала ідентифікатор CVE CVE-2024-6800 і має оцінку CVSS 9,5.

Оставить комментарий
GitHub виправив нову критичну помилку в GitHub Enterprise Server

GitHub випустив виправлення для усунення трьох вразливостей. Зокрема критичної помилки, яка може дозволити зловмиснику отримати несанкціонований доступ до облікового запису користувача з правами адміністратора, а потім завдати шкоди сховищам коду. Найсерйозніша з уразливостей отримала ідентифікатор CVE CVE-2024-6800 і має оцінку CVSS 9,5.

Уразливість полягає в SAML-аутентифікації GHES і дозволяє зловмисникам з доступом до мережі підробляти SAML-відповіді, що потенційно надає несанкціонованому користувачеві доступ до адміністрування сайту без попередньої автентифікації.

«На екземплярах GitHub Enterprise Server, які використовують SAML-аутентифікацію єдиного входу (SSO) з певними IdP, що використовують загальнодоступні підписані метадані федерації XML, зловмисник може підробити SAML-відповідь для надання та/або отримати доступ до облікового запису користувача з правами адміністратора сайту», — йдеться в повідомленні GitHub.

Всі три уразливості були виправлені у версіях GHES 3.13.3, 3.12.8, 3.11.14 та 3.10.16.

Про цю вразливість разом із двома іншими, виправленими у версії 3.13.3, було повідомлено через програму GitHub Bug Bounty.

Обидва інші виправлені недоліки мають середній рівень серйозності.

CVE-2024-7711 може дозволити зловмиснику оновити назву, правонаступників та мітки будь-якого випуску в публічному репозиторії — ключове слово тут «публічний». Приватні та внутрішні репозиторії не зачіпає ця помилка, яка отримала рейтинг CVSS 5.3.

CVE-2024-6337 — уразливість з рейтингом 5.9, яка може дозволити зловмиснику розкрити вміст випуску з приватного репозиторію за допомогою додатку GitHub з дозволами 'content: read' та 'pull_request_write: write'.

Організаціям, які використовують вразливу версію GHES, розміщену на власному хостингу, настійно рекомендується оновити її до останньої версії, щоб захиститися від потенційних загроз безпеці.

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
На Github набирає популярність Deep Live Cam — інструмент що робить реалістичні діпфейки в реальному часі. Для копіювання чужого обличчя йому достатньо однієї картинки
На Github набирає популярність Deep Live Cam — інструмент, що робить реалістичні діпфейки в реальному часі. Для копіювання чужого обличчя йому достатньо однієї картинки
По темi
На Github набирає популярність Deep Live Cam — інструмент, що робить реалістичні діпфейки в реальному часі. Для копіювання чужого обличчя йому достатньо однієї картинки
GitHub представив GitHub Models — маркетплейс моделей машинного навчання
GitHub представив GitHub Models — маркетплейс моделей машинного навчання
По темi
GitHub представив GitHub Models — маркетплейс моделей машинного навчання
Зловмисники видають себе за рекрутерів і команду безпеки GitHub щоби просувати шкідливі програми OAuth
Зловмисники видають себе за рекрутерів і команду безпеки GitHub, щоби просувати шкідливі програми OAuth
По темi
Зловмисники видають себе за рекрутерів і команду безпеки GitHub, щоби просувати шкідливі програми OAuth
Читайте также
Может AI заменить кодеров: вот какие задачи готовы отдать искусственному интеллекту украинские айтишники
Может AI заменить кодеров: вот какие задачи готовы отдать искусственному интеллекту украинские айтишники
Может AI заменить кодеров: вот какие задачи готовы отдать искусственному интеллекту украинские айтишники
GitHub ввел расширение Copilot, которое с помощью искусственного интеллекта может писать код вслед за уже написанной строчкой. И это не первая разработка в этом направлении. Мы спросили разработчиков, руководителей, кодеров и всех, кто вовлечен в эту тему, может ли искусственный интеллект заменить человека, что можно доверить машине, и не подтолкнет ли это работодателей к увольнениям людей. На опрос откликнулись 25 респондентов и их ответы нас заинтересовали.
Искусственный интеллект будет помогать разработчикам кодить. GitHub запустил сервис Сopilot на AI за $10 в месяц
Искусственный интеллект будет помогать разработчикам кодить. GitHub запустил сервис Сopilot на AI за $10 в месяц
Искусственный интеллект будет помогать разработчикам кодить. GitHub запустил сервис Сopilot на AI за $10 в месяц
Специалисты GitHub от Microsoft разработали и запустили сервис Copilot, который с помощью искусственного интеллекта добавляет предложения кода на основе предыдущей строки или комментария. Версия общедоступна для всех разработчиков за $10 в месяц или $100 в год.
Сервис для IT-проектов GitHub начал блокировку пользователей из рф
Сервис для IT-проектов GitHub начал блокировку пользователей из рф
Сервис для IT-проектов GitHub начал блокировку пользователей из рф
Украинскому инженеру SoftServe предложили проект по созданию аналога Zoom и Git платформ для рф. Как думаете, что он ответил?
Украинскому инженеру SoftServe предложили проект по созданию аналога Zoom и Git платформ для рф. Как думаете, что он ответил?
Украинскому инженеру SoftServe предложили проект по созданию аналога Zoom и Git платформ для рф. Как думаете, что он ответил?

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.