GitHub Enterprise Server’ın (GHES) şu anda desteklenen tüm sürümlerini etkileyen kritik bir güvenlik açığı (CVE-2024-6800), saldırganların örneğin içeriğine sınırsız erişim elde etmesine olanak tanıyabilir.
GitHub Hata Ödülü programı aracılığıyla bildirilen sorun giderildi ve yöneticilere hızlı bir şekilde güncelleme yapmaları önerildi.
CVE-2024-6800 Hakkında
GitHub Enterprise Server, kuruluşların genellikle kod depoları üzerinde daha fazla kontrol/güvenlik gerektiren belirli düzenlemelere uymak için şirket içinde kendi barındırdıkları bir yazılım geliştirme platformudur.
Sanal bir makineye yüklenen kendi kendine yeten sanal bir cihaz biçiminde gelir. Örnek, özel bir uygulama yığınıyla Linux çalıştırır.
Yazılımın sürüm notlarına göre, CVE-2024-6800, saldırganların kimlik doğrulama gereksinimlerini atlatmasına olanak tanıyan bir XML imza sarma güvenlik açığıdır, ancak yalnızca örnek belirli bir SAML tek oturum açma (SSO) kimlik doğrulamasını kullanıyorsa. [identity providers] kamuya açık imzalı federasyon meta veri XML’ini kullanarak.
Bu kusur, GitHub Enterprise Server’a doğrudan ağ erişimi olan bir saldırganın, site yöneticisi ayrıcalıklarına sahip bir kullanıcıya erişim sağlamak ve/veya erişim elde etmek için bir SAML yanıtı oluşturmasına olanak tanıyor.
Güvenlik güncellemeleri mevcut
GitHub Enterprise Server örneklerini kendi altyapılarında çalıştıran ve SAML SSO kimlik doğrulamasını kullanan kuruluşların sabit GHES sürümlerinden birine yükseltmeleri önerilir:
- 3.13.3
- 3.12.8
- 3.11.14
- 3.10.16
Ancak hala 3.10 sürümünü kullanan kuruluşlar daha yeni bir sürüme geçmeyi düşünebilirler; zira v3.10 sürümü 29 Ağustos 2024’te kullanımdan kaldırılacak ve o tarihten itibaren yama veya güvenlik düzeltmeleri almayacak.
GitHub, soruna yönelik olası hafifletme yollarından veya geçici çözümlerden bahsetmiyor.