Обновите используемое ПО, пока хакеры не применили его в злонамеренных целях.
GitHub выпустил исправления для устранения серьёзной уязвимости в GitHub Enterprise Server (GHES), которая могла позволить злоумышленникам обходить системы аутентификации.
Уязвимость, обозначенная как CVE-2024-4985 с максимальным рейтингом CVSS (Common Vulnerability Scoring System) — это открытый стандарт, используемый для оценки и классификации уязвимостей информационной безопасности. CVSS предоставляет числовую оценку, которая помогает организациям определить серьезность уязвимости и принять соответствующие меры для устранения угроз.<br> <br> Оценка CVSS представлена числовым значением от 0 до 10, где 0 обозначает отсутствие уязвимости, а 10 — наивысший уровень уязвимости. Эта оценка позволяет IT-специалистам и администраторам принимать решения о приоритетах по обеспечению безопасности систем и принимать меры для устранения уязвимостей, наиболее критичных для организации." data-html="true" data-original-title="CVSS" >CVSS 10.0, даёт неавторизованным пользователям доступ к системе без предварительной аутентификации.
«На серверах, использующих аутентификацию SAML с опционально включённой функцией зашифрованных утверждений, злоумышленник мог подделать ответ SAML для получения доступа к учётной записи с правами администратора», — говорится в сообщении компании.
GHES — это платформа для разработки программного обеспечения, которая позволяет организациям хранить и разрабатывать ПО с использованием системы управления версиями Git и автоматизировать процессы развёртывания.
Уязвимость затрагивает все версии GHES до 3.13.0 и была устранена в версиях 3.9.15, 3.10.12, 3.11.10 и 3.12.4.
GitHub также уточнил, что функция зашифрованных утверждений по умолчанию не включена, и уязвимость не затрагивает системы, не использующие аутентификацию SAML SSO или использующие её без зашифрованных утверждений.
Зашифрованные утверждения позволяют администраторам сайтов повышать безопасность GHES с помощью SAML SSO, шифруя сообщения, которые SAML-провайдер идентификации (IdP) отправляет в процессе аутентификации.
Организациям, использующим уязвимые версии GHES, рекомендуется обновить свои системы до последних версий для защиты от потенциальных угроз безопасности.