HR EN
Naslovnica » Sigurnosne objave » GitHub Enterprise Server - kritična ranjivost

GitHub Enterprise Server - kritična ranjivost

Dana 21. svibnja 2024. godine, tvrtka GitHub je objavila kritičnu ranjivost u instanci platforme GitHub Enterprise Server (GHES) koja utječe na instance koje koriste Security Assertion Markup Language (SAML) autentifikaciju putem metode jednokratne/jedinstvene prijave (engl. Single Sign-On - SSO) s enkriptiranim tvrdnjama. Ova ranjivost omogućuje napadačima krivotvorenje SAML odgovora, čime stječu neautorizirani administratorski pristup bez autentifikacije.
Javno su dostupni dokazi o konceptu (engl. Proof of Concept) iskorištavanja ranjivosti. Preporučuje se žurna nadogradnja zahvaćenih verzija proizvoda.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 
  • Ranjivost CVE-2024-4985 (CVSS ocjena 10), odnosi se na SAML SSO s opcionalnom funkcijom enkriptiranih tvrdnji. Napadač može krivotvoriti SAML tvrdnju koja sadrži točne korisničke informacije. Kada GHES obradi lažnu SAML tvrdnju, ne može ispravno validirati njezin potpis, što omogućava napadaču pristup GHES instanci.
Zahvaćene su sljedeće verzije GitHub Enterprise Servera:
  • 3.12.0 do 3.12.3;
  • 3.11.0 do 3.11.9;
  • 3.10.0 do 3.10.11;
  • 3.9.0 do 3.9.14.
Zahvaćene su samo instance koje koriste SAML autentifikaciju putem SSO metode prijave.

Preporuke:
Preporučuje se žurno ažuriranje na najnoviju dostupnu inačicu.

Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 24.05.2024 - 15:48]
 

Normativni akti


Sigurnosna akreditacija

Standardi sigurnosti

Kriptografska zaštita

Kibernetička sigurnosna certifikacija

Javno regulirane usluge sustava Galileo

© Zavod za sigurnost informacijskih sustava, Fra Filipa Grabovca 3, 10000 Zagreb
Sva prava pridržana