GitHub, CVE-2024-4986 olarak takip edilen ve SAML çoklu oturum açma (SSO) kimlik doğrulamasını kullanan GitHub Kurumsal Sunucu (GHES) örneklerini etkileyen maksimum önem derecesine sahip (CVSS v4 puanı: 10,0) kimlik doğrulama atlama güvenlik açığını düzeltti.
Kusurun kullanılması, bir tehdit aktörünün bir SAML yanıtı oluşturmasına ve yönetici ayrıcalıkları kazanmasına olanak tanıyacak ve herhangi bir kimlik doğrulama gerektirmeden örneğin tüm içeriğine sınırsız erişim sağlayacaktır.
GHES, depoları kendi sunucularında veya özel bulut ortamlarında depolamayı tercih eden kuruluşlar için tasarlanmış, GitHub’un kendi kendine barındırılan bir sürümüdür.
Varlıkları üzerinde daha fazla kontrole ihtiyaç duyan büyük kuruluşların veya geliştirme ekiplerinin, hassas veya özel verileri işleyen kuruluşların, yüksek performans ihtiyaçları olan kuruluşların ve çevrimdışı erişim yeteneklerine ihtiyaç duyan kullanıcıların ihtiyaçlarını karşılar.
GitHub’un Bug Bounty programına gönderilen kusur, yalnızca Güvenlik Onaylama İşaretleme Dili (SAML) SSO’sunu şifrelenmiş iddialarla kullanan örnekleri etkiliyor. Bu isteğe bağlı özellik, verileri müdahaleye (ortadaki adam saldırıları) karşı korur.
“SAML tek oturum açma (SSO) kimlik doğrulamasını isteğe bağlı şifrelenmiş onaylama özelliğiyle birlikte kullanan örneklerde, bir saldırgan, yönetici ayrıcalıklarına sahip bir kullanıcıya erişim sağlamak ve/veya erişim sağlamak için sahte bir SAML yanıtı oluşturabilir.” – GitHub.
Şifrelenmiş onayların GHES’te varsayılan ayar olmaması nedeniyle, CVE-2024-4986 yalnızca yöneticilerinin güvenlik özelliğini etkinleştirdiği örnekleri etkiler.
Güvenlik açığı, tümü 20 Mayıs’ta dün yayınlanan GHEL 3.12.4, 3.11.10, 3.10.12 ve 3.9.15 sürümlerinde düzeltildi.
Güncellemeyle ilgili bilinen sorunlar şunları içerir:
- Özel güvenlik duvarı kuralları silinir.
- Notebook ve Viewscreen hizmetleri için yapılandırma doğrulaması sırasında “Böyle bir nesne yok” hatası. (göz ardı edilebilir)
- Yönetim Konsolu kök yönetici hesabının kilidi, kilitleme sonrasında otomatik olarak açılmaz. (kilidini açmak için SSH erişimi gerekir)
- TLS’nin etkin olduğu günlük iletimi, ghe-ssl-ca-certificate-install kullanılarak yüklenen CA paketlerine uyulmadığı için başarısız oluyor.
- MySQL günlüklerindeki mbind: İşleme izin verilmiyor hatası göz ardı edilebilir.
- AWS bulut sunucuları, yeniden başlatmanın ardından sistem zamanı senkronizasyonunu kaybedebilir.
- Bir yük dengeleyicinin arkasında X-Forwarded-For başlığını kullanırken tüm istemci IP’leri denetim günlüklerinde 127.0.0.1 olarak görünür.
- Büyük .adoc dosyaları web kullanıcı arayüzünde oluşturulamayabilir ancak düz metin olarak kullanılabilir.
- Redis düzgün şekilde yeniden başlatılmazsa ghe-restore ile yedekleme geri yüklemesi başarısız olabilir.
- ghe-migrator kullanılarak içe aktarılan depolar Gelişmiş Güvenlik katkılarını doğru şekilde izlemiyor.
- GitHub Sayfaları için GitHub Eylemleri iş akışları başarısız olabilir; düzeltme belirli SSH komutlarını gerektirir. (düzeltme bültende verilmiştir)
Bu sorunlara rağmen, güvenlik açığı bulunan yapılandırmayı (SAML SSO + şifrelenmiş iddialar) kullananların derhal güvenli bir GHEL sürümüne geçmesi gerekir.