Kritik GitHub Kurumsal Sunucu Hatası, Kimlik Doğrulamanın Atlanmasına İzin Veriyor


21 Mayıs 2024Haber odasıGüvenlik Açığı / Yazılım Geliştirme

GitHub Kurumsal Sunucu

GitHub, GitHub Enterprise Server’da (GHES) bir saldırganın kimlik doğrulama korumalarını atlamasına izin verebilecek maksimum önem derecesine sahip bir kusuru gidermek için düzeltmeler yayınladı.

Şu şekilde izlendi: CVE-2024-4985 (CVSS puanı: 10,0), sorun, önceden kimlik doğrulama gerektirmeden bir örneğe yetkisiz erişime izin verebilir.

Şirket, bir danışma belgesinde “SAML tek oturum açma (SSO) kimlik doğrulamasını isteğe bağlı şifrelenmiş onaylama özelliğiyle birlikte kullanan örneklerde, bir saldırgan, yönetici ayrıcalıklarına sahip bir kullanıcıya erişim sağlamak ve/veya erişim sağlamak için bir SAML yanıtı oluşturabilir” dedi.

GHES, yazılım geliştirme için kendi kendine barındırılan bir platformdur ve kuruluşların Git sürüm kontrolünü kullanarak yazılım depolamasına ve oluşturmasına ve ayrıca dağıtım hattını otomatikleştirmesine olanak tanır.

Siber güvenlik

Sorun, GHES’in 3.13.0’dan önceki tüm sürümlerini etkilemektedir ve 3.9.15, 3.10.12, 3.11.10 ve 3.12.4 sürümlerinde ele alınmıştır.

GitHub ayrıca, şifrelenmiş iddiaların varsayılan olarak etkinleştirilmediğini ve kusurun, SAML çoklu oturum açma (SSO) kullanmayan örnekleri veya şifrelenmiş iddialar olmadan SAML SSO kimlik doğrulamasını kullanan örnekleri etkilemediğini belirtti.

Şifrelenmiş onaylamalar, site yöneticilerinin, kimlik doğrulama işlemi sırasında SAML kimlik sağlayıcısının (IdP) gönderdiği mesajları şifreleyerek SAML SSO ile bir GHES örneğinin güvenliğini artırmasına olanak tanır.

GHES’in güvenlik açığı bulunan bir sürümünü kullanan kuruluşların, olası güvenlik tehditlerine karşı güvenlik sağlamak için en son sürüme güncellemeleri önerilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link