JetBrains, müşterilerini IntelliJ entegre geliştirme ortamı (IDE) uygulamalarının kullanıcılarını etkileyen ve GitHub erişim belirteçlerini açığa çıkaran kritik bir güvenlik açığını düzeltmeleri konusunda uyardı.
CVE-2024-37051 olarak izlenen bu güvenlik açığı, JetBrains GitHub eklentisinin etkinleştirildiği ve yapılandırıldığı/kullanıldığı 2023.1’den itibaren tüm IntelliJ tabanlı IDE’leri etkiler.
JetBrains güvenlik destek ekibi lideri Ilya Pleskunin, “29 Mayıs 2024’te, IDE içindeki çekme isteklerini etkileyebilecek olası bir güvenlik açığının ayrıntılarını içeren bir harici güvenlik raporu aldık” dedi.
“Özellikle, IntelliJ tabanlı IDE’ler tarafından işlenecek bir GitHub projesine yapılan çekme isteğinin bir parçası olan kötü amaçlı içerik, erişim belirteçlerini üçüncü taraf bir ana bilgisayara maruz bırakacaktır.”
JetBrains, etkilenen IDE’lerin 2023.1 veya sonraki sürümlerinde bu kritik güvenlik açığını gideren güvenlik güncelleştirmeleri yayımladı.
Şirket ayrıca JetBrains GitHub eklentisine de yama uyguladı ve daha önce etkilenen tüm sürümleri resmi eklenti pazarından kaldırdı.
IntelliJ IDE’lere yönelik sabit sürümlerin tam listesi şunları içerir:
- Su: 2024.1.2
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
- VeriGrip: 2024.1.4
- Veri Yazımı: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- Fikrini anlıyorum: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
- Binici: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
- Yakut Madeni: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
- RustRover: 2024.1.1
- WebFırtına: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
Yöneticilere GitHub belirteçlerini yamalama ve iptal etme çağrısı yapıldı
Pleskunin, “En son sürüme güncelleme yapmadıysanız, bunu yapmanızı şiddetle tavsiye ediyoruz.” diye uyardı.
JetBrains, bir güvenlik düzeltmesi üzerinde çalışmanın yanı sıra etkinin en aza indirilmesine yardımcı olmak için GitHub ile iletişime geçti. Azaltma işlemi sırasında uygulanan önlemler nedeniyle JetBrains GitHub eklentisi, JetBrains IDE’lerinin eski sürümlerinde beklendiği gibi çalışmayabilir.
JetBrains ayrıca, IntelliJ IDE’lerde GitHub çekme isteği işlevini aktif olarak kullanan müşterilere, güvenlik açığı bulunan eklenti tarafından kullanılan GitHub tokenlerini iptal etmelerini “şiddetle” tavsiye etti; çünkü bu, iki faktörlü ek korumayla bile potansiyel saldırganlara bağlantılı GitHub hesaplarına erişim sağlayabilir. kimlik doğrulama.
Ayrıca, eklenti OAuth entegrasyonu veya Kişisel Erişim Simgesi (PAT) ile kullanıldıysa, eklentinin erişimi de iptal etmesi gerekir. JetBrains IDE Entegrasyonu uygulamayı seçin ve silin IntelliJ IDEA GitHub entegrasyon eklentisi jeton.
Pleskunin, “Belirteç iptal edildikten sonra, tüm eklenti özellikleri (Git işlemleri dahil) çalışmayı durduracağından eklentiyi yeniden kurmanız gerekeceğini lütfen unutmayın.” dedi.
Şubat ayında JetBrains ayrıca, saldırganların yönetici ayrıcalıkları kazanmasına ve savunmasız TeamCity Şirket İçi sunucularını ele geçirmesine olanak verebilecek, Mart ayından bu yana herkese açık yararlanma kodunun mevcut olduğu, kritik bir kimlik doğrulama atlama güvenlik açığı konusunda da uyarıda bulundu.