- 13,850
- 20
- 8 Ноя 2022
Обновитесь как можно скорее, если не хотите делить свои данные с хакерами.
20 августа GitHub Для просмотра ссылки Войдиили Зарегистрируйся для устранения трёх уязвимостей безопасности в своём продукте Enterprise Server, включая одну критическую проблему, позволявшую злоумышленникам получить права администратора сайта.
Наиболее серьёзная уязвимость получила идентификатор Для просмотра ссылки Войдиили Зарегистрируйся и оценку 9.5 по шкале CVSS. Эта уязвимость касается серверов GitHub Enterprise, использующих SAML -аутентификацию с определёнными провайдерами идентификации (IdP), которые применяют публично доступные подписанные XML-файлы федеративных метаданных. В этом случае злоумышленник может подделать SAML-ответ и получить доступ к учётной записи с правами администратора сайта.
GitHub также устранил две других уязвимости средней степени опасности. Первая, с идентификатором Для просмотра ссылки Войдиили Зарегистрируйся и оценкой 5.3 по CVSS, связана с некорректной авторизацией, что позволяет атакующему изменить заголовки, назначенных ответственных и метки любой задачи в публичном репозитории. Вторая, с идентификатором Для просмотра ссылки Войди или Зарегистрируйся и оценкой 5.9, также связана с некорректной авторизацией и позволяет получить доступ к содержимому задач в частных репозиториях, используя GitHub App с ограниченными правами на чтение содержимого и запись запросов на слияние.
Все три уязвимости были устранены в версиях GHES 3.13.3, 3.12.8, 3.11.14 и 3.10.16.
Ранее, в мае, GitHub Для просмотра ссылки Войдиили Зарегистрируйся критическую уязвимость безопасности ( Для просмотра ссылки Войди или Зарегистрируйся ) с максимальной оценкой 10.0 по CVSS, которая позволяла получить несанкционированный доступ к серверу без предварительной аутентификации.
Организациям, использующим уязвимые версии GHES, настоятельно рекомендуется обновиться до последней версии, чтобы защититься от потенциальных угроз безопасности.
20 августа GitHub Для просмотра ссылки Войди
Наиболее серьёзная уязвимость получила идентификатор Для просмотра ссылки Войди
GitHub также устранил две других уязвимости средней степени опасности. Первая, с идентификатором Для просмотра ссылки Войди
Все три уязвимости были устранены в версиях GHES 3.13.3, 3.12.8, 3.11.14 и 3.10.16.
Ранее, в мае, GitHub Для просмотра ссылки Войди
Организациям, использующим уязвимые версии GHES, настоятельно рекомендуется обновиться до последней версии, чтобы защититься от потенциальных угроз безопасности.
- Источник новости
- www.securitylab.ru
