Github örneklerini Github Enterprise Server ile kendileri barındıran yöneticilerin temel yazılımı hızlı bir şekilde güncellemesi gerekir. Aksi takdirde saldırganlar diğer şeylerin yanı sıra “eleştirmen“Güvenlik açığını uygulayın.
Duyuru
Kimlik doğrulaması bozuldu
Sunucuları korumak için korumalı sürümler mevcuttur 3.11.16, 3.12.10, 3.13.5 VE 3.14.12 indirmeye hazır. Önceki sürümler artık desteklenmemektedir ve gelecekte güvenlik güncellemelerini almaya devam etmek için bu noktada bir güncelleme yapılması gerekmektedir. Sürüm notlarına göre, kritik güvenlik açığı (CVE-2024-9487), benzer bir güvenlik açığına (CVE-2024-4985) yönelik bir düzeltmeden kaynaklanıyoreleştirmen“) bu yılın mayıs ayından bu yana.
Yalnızca kimlik doğrulama için SAML SSO'yu kullanan örnekler etkilenir. Ayrıca, geliştiricilere göre varsayılan olarak durum böyle olmayan Şifrelenmiş İddialar özelliğinin de etkinleştirilmesi gerekir. Bunun ötesinde, saldırganların ağ erişimine ve imzalı bir SAML yanıtına ihtiyacı vardır. Bu gereksinimler karşılanırsa saldırganlar, yetersiz sertifika kontrolleri nedeniyle kimlik doğrulamayı atlayabilir. Bu, yetkisiz erişimin mümkün olduğu anlamına gelir.
Olası veri sızıntısı
Ayrıca geliştiriciler ikinci bir güvenlik açığını (CVE-2024-9539″) keşfettiler.orta“) kapatıldı. Kurbanlar özel olarak oluşturulmuş bir URL'ye tıklarsa bilgiler sızdırılabilir.
Github yetkilileri, her iki güvenlik açığının da Github'un hata ödül programı aracılığıyla bildirildiğini söylüyor. Daha önce saldırı olup olmadığı henüz bilinmiyor. Ayrıca yöneticilerin halihazırda güvenliği ihlal edilmiş olan sunucuları tanımlamak için hangi ölçümleri kullanabileceği de belirsizdir.
(des)
Duyuru
Kimlik doğrulaması bozuldu
Sunucuları korumak için korumalı sürümler mevcuttur 3.11.16, 3.12.10, 3.13.5 VE 3.14.12 indirmeye hazır. Önceki sürümler artık desteklenmemektedir ve gelecekte güvenlik güncellemelerini almaya devam etmek için bu noktada bir güncelleme yapılması gerekmektedir. Sürüm notlarına göre, kritik güvenlik açığı (CVE-2024-9487), benzer bir güvenlik açığına (CVE-2024-4985) yönelik bir düzeltmeden kaynaklanıyoreleştirmen“) bu yılın mayıs ayından bu yana.
Yalnızca kimlik doğrulama için SAML SSO'yu kullanan örnekler etkilenir. Ayrıca, geliştiricilere göre varsayılan olarak durum böyle olmayan Şifrelenmiş İddialar özelliğinin de etkinleştirilmesi gerekir. Bunun ötesinde, saldırganların ağ erişimine ve imzalı bir SAML yanıtına ihtiyacı vardır. Bu gereksinimler karşılanırsa saldırganlar, yetersiz sertifika kontrolleri nedeniyle kimlik doğrulamayı atlayabilir. Bu, yetkisiz erişimin mümkün olduğu anlamına gelir.
Olası veri sızıntısı
Ayrıca geliştiriciler ikinci bir güvenlik açığını (CVE-2024-9539″) keşfettiler.orta“) kapatıldı. Kurbanlar özel olarak oluşturulmuş bir URL'ye tıklarsa bilgiler sızdırılabilir.
Github yetkilileri, her iki güvenlik açığının da Github'un hata ödül programı aracılığıyla bildirildiğini söylüyor. Daha önce saldırı olup olmadığı henüz bilinmiyor. Ayrıca yöneticilerin halihazırda güvenliği ihlal edilmiş olan sunucuları tanımlamak için hangi ölçümleri kullanabileceği de belirsizdir.
(des)