GitHub, bir örneğe yetkisiz erişime izin verebilecek kritik bir hata da dahil olmak üzere birçok sorunu gidermek amacıyla Enterprise Server (GHES) için güvenlik güncellemeleri yayınladı.
CVE-2024-9487 olarak takip edilen güvenlik açığı, maksimum 10,0 üzerinden 9,5 CVS puanı taşıyor
GitHub, “Bir saldırgan, isteğe bağlı şifreli onaylama özelliğiyle SAML tek oturum açma (SSO) kimlik doğrulamasını atlayabilir ve GitHub Enterprise Server’daki kriptografik imzaların uygunsuz şekilde doğrulanması güvenlik açığından yararlanarak kullanıcıların yetkisiz temel hazırlığına ve örneğe erişime izin verebilir.” bir uyarı.
Microsoft’un sahibi olduğu şirket, kusuru, Mayıs 2024’te yeniden yamalanan maksimum önem derecesine sahip bir güvenlik açığı olan CVE-2024-4985’ten (CVSS puanı: 10,0) kaynaklanan takip düzeltmesinin bir parçası olarak sunulan bir gerileme olarak nitelendirdi.
Ayrıca GitHub tarafından düzeltilen iki eksiklik daha var –
- CVE-2024-9539 (CVSS puanı: 5,7) – Bir saldırganın, SVG varlıkları için kötü amaçlı URL’lere tıklandığında kurban kullanıcıya ait meta verileri almasına olanak tanıyan bir bilginin açığa çıkması güvenlik açığı
- Yönetim konsolundaki HTML formlarında hassas verilerin açığa çıkması (CVE yok)
Enterprise Server 3.14.2, 3.13.5, 3.12.10 ve 3.11.16 sürümlerinde üç güvenlik açığı da giderilmiştir.
Ağustos ayında GitHub, site yöneticisi ayrıcalıklarını kazanmak için kötüye kullanılabilecek kritik bir güvenlik kusurunu da (CVE-2024-6800, CVSS puanı: 9,5) düzeltmişti.
GHES’in güvenlik açığına sahip, kendi kendine barındırılan bir sürümünü çalıştıran kuruluşların, potansiyel güvenlik tehditlerine karşı korunmak için en son sürüme güncellemeleri önemle tavsiye edilir.