Новости GitHub латает дыры в Enterprise Server: установите обновление как можно скорее

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Прошлогодняя утечка SSH-ключа вынудила компанию стать бдительнее.


6t2umffpyd6aq3nkj8irft7t0krox19l.jpg


Недавно GitHub Для просмотра ссылки Войди или Зарегистрируйся уязвимость Для просмотра ссылки Войди или Зарегистрируйся в Enterprise Server, связанную с небезопасным отражением ( Unsafe Reflection ), которая позволяла злоумышленникам выполнять удалённый код на незащищённых серверах. Эта уязвимость давала доступ к переменным среды продакшн-контейнера, включая учётные данные, но для её эксплуатации требовалась аутентификация с ролью владельца организации с административным доступом.

Информация о данном недостатке безопасности впервые поступила 26 декабря 2023 года через программу Bug Bounty в GitHub. После получения отчёта компания оперативно устранила уязвимость и начала обновление всех потенциально скомпрометированных учётных данных. Вице-президент и заместитель главы отдела безопасности GitHub Джейкоб ДеПрист выразил высокую уверенность в том, что хакеры не успели воспользоваться брешью в корыстных целях.

В целях предосторожности GitHub также обновил ключи доступа. Большинство из них не требуют действий со стороны пользователей, однако тем, кто использует ключи подписи коммитов GitHub, а также ключи шифрования клиентов GitHub Actions, Codespaces и Dependabot, необходимо будет импортировать новые публичные ключи вручную. В целом, компания рекомендует регулярно обновлять публичные ключи через API для обеспечения безопасности и актуальности данных.

Кроме того, вчера GitHub Для просмотра ссылки Войди или Зарегистрируйся ещё одну уязвимость в Enterprise Server ( Для просмотра ссылки Войди или Зарегистрируйся ), позволявшую пользователям с ролью редактора в Management Console повышать свои привилегии. Обновление доступно для Enterprise Server версий 3.8.13, 3.9.8, 3.10.5 и 3.11.3. Компания рекомендует не затягивать с установкой и применить патч сразу, как только появится такая возможность.
 
Источник новости
www.securitylab.ru

Похожие темы