JetBrains, Erişim Tokenlarını Açığa Çıkaran GitHub Eklentisi Konusunda Uyardı


IntelliJ tabanlı IDE’ler (2023.1 ve üstü) için JetBrains GitHub eklentisindeki kritik bir güvenlik açığı (CVE-2024-37051), erişim belirteçlerini GitHub çekme istekleri içindeki kötü amaçlı içeriğe maruz bırakarak, saldırganların belirteçleri çalmasına ve potansiyel olarak bağlı hesapların güvenliğini tehlikeye atmasına olanak tanıyor. faktör kimlik doğrulaması etkin.

JetBrains, sorunu bir yamayla ele aldı ve hafifletme çabaları konusunda GitHub ile işbirliği yaptı.

Kullanıcılara IDE’lerini güncellemeleri ve eklenti tarafından kullanılan GitHub belirteçlerini iptal etmeyi düşünmeleri tavsiye edilir.

Bugün itibarıyla JetBrains IDE’leri için sabit sürümler sunulmuşken Aqua’nın şu anda tek bir sabit sürümü var: 2024.1.2.

With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis

CLion, 2023.1.7’den en son Erken Erişim Programı (EAP) yapısı olan 2024.2 EAP2’ye kadar uzanan çok sayıda sabit sürüm sunar. DataGrip ve DataSpell’in her birinin bu yıla ait sabit bir sürümü vardır (sırasıyla 2024.1.4 ve 2024.1.2).

GoLand ve IntelliJ IDEA kullanıcıları, 2023’ten itibaren olanlar ve 2024.2 için mevcut EAP yapıları da dahil olmak üzere daha geniş bir sabit sürüm yelpazesinden yararlanır.

Son olarak MPS, 2023’ün ortasından itibaren (2023.2.1) sabit sürümler sunuyor; en sonuncusu bu yıla ait bir EAP yapısı (2024.1 EAP2) olacak.

JetBrains GitHub eklentisinde erişim belirteçlerini açığa çıkarabilecek bir güvenlik açığı düzeltildi ve bu güvenlik açığı, sürüm 2023.1’den itibaren tüm IntelliJ tabanlı IDE’leri (PhpStorm, PyCharm, Rider, RubyMine, WebStorm ve RustRover dahil) etkiliyor.

JetBrains GitHub eklentisi düzeltmeyle güncellendi ve güvenli olmayan sürümler JetBrains Marketplace’ten kaldırıldı.

Kullanıcıların eklentiyi derhal en son sürüme güncellemesi şiddetle tavsiye edilir.

29 Mayıs 2024’te gönderilen harici bir güvenlik raporu, IntelliJ tabanlı IDE’ler (sürüm 2023.1 ve üzeri) için JetBrains GitHub eklentisinde bir güvenlik açığı (CVE-2024-37051) tespit etti.

Bu güvenlik açığı, kötü amaçlı içerik içeren bir çekme isteğinin IDE tarafından işlenmesi durumunda kullanıcının GitHub erişim belirtecinin kötü niyetli bir üçüncü tarafın eline geçmesine neden olabilir; ancak bu güvenlik açığını azaltmak için en son IDE sürümüne güncelleme yapılması önemle tavsiye edilir.

JetBrains, IntelliJ tabanlı IDE’ler için GitHub eklentisinde (sürüm 2023.1 ve üzeri) erişim belirteçlerini açığa çıkarabilecek bir güvenlik açığı tespit etti ve bu sorunu azaltmak için GitHub ile iletişime geçti ve eklentinin eski IDE sürümlerinde arızalanmasına neden olabilecek önlemler uyguladı.

Kalıcı bir düzeltme devam ederken, eklentinin ve IDE’nin en son sürümlere güncellenmesi, güvenliğin ve tam işlevselliğin sağlanması açısından çok önemlidir.

JetBrains IDE GitHub entegrasyon eklentisini kullanırken uyumluluk ve güvenliği sağlamak için en son IDE sürümüne güncelleyin ve eklentinin çekme isteği özelliklerini kullandıysanız ilgili GitHub belirteçlerini iptal edin.

Eklenti, OAuth veya Kişisel Erişim Belirteçlerini (PAT’ler) kullanabilir. Bunları GitHub’un uygulama ayarları veya belirteç yönetimi sayfası aracılığıyla iptal edin.

Belirteçleri iptal etmenin Git işlemleri de dahil olmak üzere yeniden yapılandırma gerektiren tüm eklenti özelliklerini devre dışı bıraktığını unutmayın.

Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo 



Source link