Güvenlik açığı bulunan GitHub Enterprise Server (GHES) örneklerine sınırsız erişime izin veren kritik bir 10 üzerinden 10 güvenlik açığı (CVE-2024-4985), Microsoft’a ait GitHub tarafından düzeltildi.
Neyse ki potansiyel kurban havuzunu daraltabilecek bir sorun var: Örnekler yalnızca SAML tek oturum açma (TOA) kimlik doğrulamasını kullanıyorlarsa VE (isteğe bağlı) şifrelenmiş onaylama özelliği etkinleştirilmişse saldırılara karşı savunmasızdırlar.
CVE-2024-4985 Hakkında
GitHub Enterprise Server, kuruluşların şirket içinde veya genel bulut hizmetinde barındırdığı bir yazılım geliştirme platformudur. Örnekler, özel bir uygulama yığınına sahip bir Linux işletim sistemini çalıştırır.
“GitHub Enterprise Server altyapınız üzerinde çalışır ve güvenlik duvarları, ağ politikaları, IAM, izleme ve VPN’ler gibi sizin tanımladığınız erişim ve güvenlik kontrolleri tarafından yönetilir. GitHub Enterprise Server, mevzuat uyumluluğuna tabi olan kuruluşların kullanımına uygundur, bu da genel buluttaki yazılım geliştirme platformlarından kaynaklanan sorunların önlenmesine yardımcı olur,” diye açıklıyor GitHub.
Şirketin hata ödül programı aracılığıyla bildirilen CVE-2024-4985, kimlik doğrulama algoritmasının yanlış uygulanmasından kaynaklanıyor.
Güvenlik açığı, yetkisiz bir saldırganın, site yöneticisi ayrıcalıklarına sahip bir kullanıcıya erişim sağlamak veya bu kullanıcıya erişim sağlamak için bir SAML yanıtı oluşturmasına ve böylece tüm kimlik doğrulama gereksinimlerini atlamasına olanak tanıyabilir.
Düzeltmeler mevcut
CVE-2024-4985, GitHub Enterprise Server’ın 3.13.0’dan önceki tüm sürümlerini etkiler ve 3.9.15, 3.10.12, 3.11.10 ve 3.12.4 sürümlerinde düzeltilmiştir.
“Şifrelenmiş iddiaların varsayılan olarak etkin olmadığını lütfen unutmayın. SAML SSO’yu kullanmayan veya şifrelenmiş iddialar olmadan SAML SSO kimlik doğrulamasını kullanmayan örnekler etkilenmez” dedi şirket, yazılım sürüm notlarında.
Dolayısıyla, yükseltme şu anda mümkün değilse, SAML SSO’yu veya yalnızca şifrelenmiş iddialar özelliğini devre dışı bırakmanın, sorundan yararlanılmasını geçici olarak engellemesi mantıklıdır.