GitHub: Ευπάθεια GHES επιτρέπει παράκαμψη ελέγχου ταυτότητας

secnews.gr

IT Security News, Gadgets, Tweaks for Geeks and More

GitHub: Ευπάθεια GHES επιτρέπει παράκαμψη ελέγχου ταυτότητας
https://www.secnews.gr/613827/github-ghes-eupatheia-epitrepei-parakampsh-eleghou-tautothtas/
Aug 22nd 2024, 18:25

Μια κρίσιμη ευπάθεια, που επηρεάζει πολλές εκδόσεις του GitHub Enterprise Server, θα μπορούσε να αξιοποιηθεί για να παρακαμφθεί ο έλεγχος ταυτότητας και να επιτρέψει σε έναν επιτιθέμενο να αποκτήσει δικαιώματα διαχειριστή στη συσκευή.



Το ζήτημα ασφαλείας περιγράφεται ως CVE-2024-6800 και έλαβε βαθμολογία 9,5 σύμφωνα με το πρότυπο CVSS 4.0. Περιγράφεται ως πρόβλημα XML signature wrapping που εμφανίζεται κατά τη χρήση του προτύπου ελέγχου ταυτότητας SAML (Security Assertion Markup Language) με συγκεκριμένους παρόχους ταυτότητας.



Δείτε επίσης: Google Chrome: Διόρθωση νέας zero-day ευπάθειας







Το GitHub Enterprise Server (GHES) είναι μια τοπική έκδοση του GitHub για επιχειρήσεις που δεν διαθέτουν την εμπειρία να εργάζονται με το δημόσιο cloud ή επιθυμούν να διαχειρίζονται τους ελέγχους πρόσβασης και ασφάλειας.



Σύμφωνα με τη μηχανή αναζήτησης FOFA για δικτυακά στοιχεία που εκτίθενται στο δημόσιο διαδίκτυο, υπάρχουν περισσότερα από 36.500 GHES instances που είναι προσβάσιμα μέσω του διαδικτύου. Τα περισσότερα (29.200) βρίσκονται στις Ηνωμένες Πολιτείες. Ωστόσο, δεν είναι σαφές πόσα μηχανήματα λειτουργούν με μια ευάλωτη έκδοση του προϊόντος. Το GitHub έχει αντιμετωπίσει το ζήτημα στις εκδόσεις GHES 3.13.3, 3.12.8, 3.11.14 και 3.10.16.



Δείτε επίσης: Microchip Technology: Κυβερνοεπίθεση επηρέασε τα συστήματά της







Οι νέες εκδόσεις του GitHub GHES περιλαμβάνουν επίσης επιδιορθώσεις για δύο άλλες ευπάθειες. Η CVE-2024-7711 επιτρέπει σε επιτιθέμενους να τροποποιούν issues σε public repositories και η CVE-2024-6337 σχετίζεται με την αποκάλυψη περιεχομένου από ένα private repository.



Οι τρεις ευπάθειες του GHES αναφέρθηκαν μέσω του προγράμματος Bug Bounty του GitHub στην πλατφόρμα HackerOne.



Διαβάστε επίσης: Ευπάθεια στο LiteSpeed Cache θέτει σε κίνδυνο εκατ. WordPress sites



Το GitHub προειδοποιεί ότι ορισμένες υπηρεσίες μπορεί να εμφανίσουν σφάλματα κατά τη διαδικασία διαμόρφωσης μετά την εφαρμογή των ενημερώσεων ασφαλείας.



Στο δελτίο τύπου σημειώνονται επίσης διάφορα ζητήματα που σχετίζονται με log entries, χρήση μνήμης και διακοπές υπηρεσίας κατά τη διάρκεια συγκεκριμένων λειτουργιών, οπότε συνιστάται στους διαχειριστές συστημάτων να ελέγξουν την ενότητα «Γνωστά ζητήματα» πριν εφαρμόσουν την ενημέρωση.



Εκτός από την τακτική ενημέρωση του GHES, είναι επίσης σημαντικό για τους οργανισμούς να διαθέτουν κατάλληλα μέτρα ασφαλείας, όπως τείχη προστασίας και συστήματα ανίχνευσης εισβολών, για προστασία από πιθανές επιθέσεις. Η εφαρμογή ισχυρών πολιτικών κωδικών πρόσβασης και ο έλεγχος ταυτότητας πολλαπλών παραγόντων μπορούν επίσης να μειώσουν σημαντικά τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης.



Πηγή: www.bleepingcomputer.com



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια