GitHub Enterprise Server’ın 3.13.3 sürümündeki son güncelleme, saldırganların SAML yanıtları oluşturmasına ve yetkisiz erişim elde etmesine olanak tanıyan kritik bir güvenlik açığını (CVE-2024-6800) giderdi.
Enterprise Server 3.13.3, kullanıcı deneyimini ve sistem yönetimini iyileştirmeyi amaçlayan çeşitli geliştirmeler sunuyor
Kullanıcılar artık gistlerin, ağların ve vikilerin uygulama durumunu doğrudan görüntüleyebilir spokesctl info çıktı, bu unsurların daha iyi görünürlüğünü sağlar.
Ek olarak, spokesctl check Bu özellik, boş depolama ağlarındaki sorunları teşhis etmek ve çoğu durumda otomatik olarak düzeltmek için yükseltildi ve ağ yönetimi kolaylaştırıldı.
Kritik Güvenlik Düzeltmeleri Güvenlik Açıklarını Giderir
Bu sürümde güvenlik en önemli öncelik olmaya devam ediyor ve birkaç kritik ve orta düzey güvenlik açığı giderildi:
Kritik SAML Güvenlik Açığı (CVE-2024-6800):
Belirli kimlik sağlayıcıları (IdP’ler) ile SAML tek oturum açma (SSO) kimlik doğrulaması kullanan GitHub Enterprise Server örneklerinde önemli bir güvenlik açığı (CVE-2024-6800) belirlendi.
Bu güvenlik açığı, saldırganların site yöneticisi ayrıcalıklarına sahip kullanıcı hesaplarına yetkisiz erişim elde etmek için bir SAML yanıtı oluşturmasına olanak tanıyabilir. Bu sorun GitHub Hata Ödülü programı aracılığıyla bildirildi ve düzeltildi.
Orta Düzeydeki Güvenlik Açıkları:
- CVE-2024-7711: Bir saldırgan, kamuya açık depolarındaki sorunların başlıklarını, atananlarını ve etiketlerini değiştirebilir.
- CVE-2024-6337: Bir saldırgan, belirli izinlere sahip bir GitHub Uygulaması kullanarak özel depolarından sorun içeriklerini ifşa edebilir. Her iki güvenlik açığı da GitHub Hata Ödülü programı aracılığıyla bildirildi ve giderildi.
Hata Düzeltmeleri Sistem İstikrarını İyileştirir
Güncelleme ayrıca sistem kararlılığını ve performansını artırmak için çok sayıda hata düzeltmesi de içeriyor:
- Yapılandırma ve Yükseltme Sorunları: Sıcak yama sırasında gereksiz yapılandırma çalıştırmaları ve yükseltme etkinliklerini engelleyen yarış koşulları gibi sorunlar çözüldü.
- Log Yönetimi ve Veri Göçü: Yapılandırma günlüklerinin döndürülmesi ve eski Elasticsearch dizinlerini kullanan örneklerde denetim günlüğü verilerinin geçişiyle ilgili sorunların çözülmesi de dahil olmak üzere günlük yönetiminde iyileştirmeler yapıldı.
- GitHub Actions ve Servis Yönetimi: Düzeltmeler, yetersiz bekleme süreleri nedeniyle başarısız olan MS SQL ve MySQL çoğaltmaları ve Projeler yan panelinde açılan sorunlarda görüntülerin yanlış işlenmesi gibi GitHub Actions ile ilgili sorunları ele alır.
Kapsamlı düzeltmelere rağmen, bazı bilinen sorunlar devam ediyor. Yapılandırma çalışmaları sırasında, belirli hizmetler “Böyle bir nesne yok” hatası alabilir, ancak yine de doğru şekilde başlamaları gerekir.
HTTP X-Forwarded-For başlığının yapılandırıldığı örneklerde, istemci IP adreslerinin yanlış bir şekilde günlüğe kaydedildiği anormallikler yaşanabilir.
Ayrıca, kümeleri bir yedekten geri yüklemek belirli prosedürler gerektirir ve bellek kullanımı yükseltmeden sonra artabilir, bu da yoğun trafik dönemlerinde hizmet kesintilerine neden olabilir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial