Търсене
Close this search box.

GitHub предупреждава за заобикаляне на SAML auth в Enterprise Server

GitHub отстрани уязвимост с максимална степен на сериозност (CVSS v4 score: 10.0), проследена като CVE-2024-4985, която засяга екземпляри на GitHub Enterprise Server (GHES), използващи SAML удостоверяване с еднократна регистрация (SSO).

Използването на недостатъка би позволило на заплахата да фалшифицира отговор на SAML и да получи администраторски привилегии, предоставяйки неограничен достъп до цялото съдържание на инстанцията, без да се изисква удостоверяване.

GHES е самостоятелно хоствана версия на GitHub, предназначена за организации, които предпочитат да съхраняват хранилища на собствени сървъри или в частни облачни среди.

Тя отговаря на нуждите на големи предприятия или екипи за разработка, които изискват по-голям контрол върху своите активи, структури, работещи с чувствителни или патентовани данни, организации с висока производителност и потребители, изискващи възможности за офлайн достъп.

Недостатъкът, който е представен в програмата Bug Bounty на GitHub, засяга само инстанции, използващи SSO на езика за маркиране на твърдения за сигурност (SAML) с криптирани твърдения. Тази незадължителна функция защитава данните от прихващане (man-in-the-middle атаки).

„В инстанции, които използват SAML удостоверяване за еднократна регистрация (SSO) с незадължителна функция за криптирани твърдения, атакуващият може да подправи SAML отговор, за да осигури и/или получи достъп до потребител с администраторски права.“ – нписаха от GitHub.
Поради това, че криптираните твърдения не са настройка по подразбиране в GHES, CVE-2024-4985 засяга само инстанции, чиито администратори са активирали функцията за сигурност.

Уязвимостта е отстранена във версиите на GHEL 3.12.4, 3.11.10, 3.10.12 и 3.9.15, които бяха публикувани онзи ден, на 20 май.

Известните проблеми с актуализацията включват:

  • Потребителските правила на защитната стена са изтрити.
  • Грешка „Няма такъв обект“ по време на валидирането на конфигурацията за услугите Notebook и Viewscreen. (може да бъде пренебрегната)
  • Администраторският акаунт на коренния потребител на конзолата за управление не се отключва автоматично след заключване. (изисква SSH достъп за отключване)
  • Пренасочването на логове с активиран TLS се проваля, тъй като пакетите CA, качени с помощта на ghe-ssl-ca-certificate-install, не се спазват.
  • Грешката mbind: Operation not allowed (Операцията не е разрешена) в логовете на MySQL може да бъде пренебрегната.
  • Инстанциите на AWS могат да загубят синхронизация на системното време след рестартиране.
  • Всички клиентски IP адреси се появяват като 127.0.0.1 в одитните дневници, когато се използва заглавието X-Forwarded-For зад балансьор на натоварването.
  • Големи .adoc файлове може да не се визуализират в уеб потребителския интерфейс, а да са достъпни като обикновен текст.
  • Възстановяването на резервно копие с ghe-restore може да се провали, ако Redis не е рестартиран правилно.
  • Хранилищата, импортирани с помощта на ghe-migrator, не проследяват правилно приноса на Advanced Security.
  • Работните потоци на GitHub Actions за GitHub Pages може да се провалят; поправката изисква специфични SSH команди. (поправката е предоставена в бюлетина)

Въпреки тези проблеми тези, които използват уязвимата конфигурация (SAML SSO + криптирани твърдения), трябва незабавно да преминат към безопасна версия на GHEL.

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
14/06/2024

YouTube преминава към инжек...

Съобщава се, че YouTube вече вкарва...
13/06/2024

Интерпол и ФБР разбиха кибе...

Четирима заподозрени бяха задържани и обвинени,...
10/06/2024

Браузърът Brave отбеляза на...

Браузърът Brave отбеляза най-значителния си ръст...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!