GitHub Enterprise Server-ի (GHES) կրիտիկական խոցելիությունը վերացնելու համար GitHub-ը համապատասխան շտկումներ է կատարել, ինչն էլ հանգեցնում է նույնականացման պաշտպանության շրջանցմանը։
Հանդիսանալով CVE-2024-4985 (CVSS կատալոգում գնահատման միավորը՝ 10.0), այն հաքերներին թույլ կտա մուտք գործել համակարգ՝ առանց նախնական նույնականացման։
«Այն դեպքերում, երբ SAML single sign-on (SSO) authentication է օգտագործվում, հաքերը կարող է կեղծել SAML and/or gain access–ը և գործել ադմինիստրատորին հասանելիք արտոնություններով», – նշվում է ընկերության կողմից տարածված զեկույցում։
Խնդիրը վերաբերում է GHES-ի բոլոր տարբերակներին՝ 3.13.0–ը ներառյալ և հասցեագրվել է՝ 3.9.15, 3.10.12, 3.11.10 և 3.12.4 տարբերակներին։
GitHub-ի փոխանցմամբ գաղտնագրված պնդումները by default կերպով միացված չեն։ Խոցելիությունը չի ազդում այն դեպքերի վրա, որոնք չեն օգտագործում SAML SSO authentication։
Գաղտնագրված պնդումները կայքի ադմինիստրատորներին թույլ են տալիս բարելավել GHES–ի անվտանգությունը՝ գաղտնագրելով այն հաղորդագրությունները, որոնք SAML identity provider (IdP)–երն ուղարկվում է նույնականացման գործընթացում:
Կազմակերպություններին, որոնք օգտագործում են GHES-ի խոցելի տարբերակը, խորհուրդ է տրվում անմիջապես թարմացնել ընթացիկ տարբերակը և անցնել նոր տարբերակին։
Աղբյուրը ՝ https://thehackernews.com/