Новости 10 из 10: свежая брешь в GitHub Enterprise Server позволяет обходить аутентификацию

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Обновите используемое ПО, пока хакеры не применили его в злонамеренных целях.


2404uioq0x1nby80j8my54955zs4evl0.jpg


GitHub выпустил исправления для устранения серьёзной уязвимости в GitHub Enterprise Server (GHES), которая могла позволить злоумышленникам обходить системы аутентификации.

Уязвимость, обозначенная как Для просмотра ссылки Войди или Зарегистрируйся с максимальным рейтингом CVSS 10.0, даёт неавторизованным пользователям доступ к системе без предварительной аутентификации.

«На серверах, использующих аутентификацию SAML с опционально включённой функцией Для просмотра ссылки Войди или Зарегистрируйся злоумышленник мог подделать ответ SAML для получения доступа к учётной записи с правами администратора», — говорится в сообщении компании.

GHES — это платформа для разработки программного обеспечения, которая позволяет организациям хранить и разрабатывать ПО с использованием системы управления версиями Git и автоматизировать процессы развёртывания.

Уязвимость затрагивает все версии GHES до 3.13.0 и Для просмотра ссылки Войди или Зарегистрируйся в версиях 3.9.15, 3.10.12, 3.11.10 и 3.12.4.

GitHub также уточнил, что функция зашифрованных утверждений по умолчанию не включена, и уязвимость не затрагивает системы, не использующие аутентификацию SAML SSO или использующие её без зашифрованных утверждений.

Зашифрованные утверждения позволяют администраторам сайтов повышать безопасность GHES с помощью SAML SSO, шифруя сообщения, которые SAML-провайдер идентификации (IdP) отправляет в процессе аутентификации.

Организациям, использующим уязвимые версии GHES, рекомендуется обновить свои системы до последних версий для защиты от потенциальных угроз безопасности.
 
Источник новости
www.securitylab.ru

Похожие темы