详细内容或原文请订阅后点击阅览
10 分(满分 10 分):GitHub Enterprise Server 中的一个新漏洞允许绕过身份验证
在黑客将您的软件用于恶意目的之前更新您的软件。
来源:安全实验室新闻频道10 分(满分 10 分):GitHub Enterprise Server 中的一个新漏洞允许绕过身份验证
在黑客将您的软件用于恶意目的之前更新您的软件。
GitHub 已发布补丁来解决 GitHub Enterprise Server (GHES) 中的一个严重漏洞,该漏洞可能允许攻击者绕过身份验证系统。
该漏洞编号为 CVE-2024-4985,CVSS 最高评级为 10.0,允许未经授权的用户在未经事先身份验证的情况下访问系统。
CVE-2024-4985 CVSS“在使用 SAML 身份验证并可选择启用加密断言功能的服务器上,攻击者可以伪造 SAML 响应来获取具有管理权限的帐户的访问权限,”该公司在一份声明中表示。
加密语句,GHES 是一个软件开发平台,允许组织使用 Git 版本控制来存储和开发软件并自动化部署过程。
该漏洞影响 3.13.0 之前的所有 GHES 版本,并已在 3.9.15、3.10.12、3.11.10 和 3.12.4 版本中得到解决。
已被删除GitHub 还澄清,默认情况下不启用加密断言功能,该漏洞不会影响不使用 SAML SSO 身份验证或在没有加密断言的情况下使用它的系统。
加密断言允许站点管理员通过加密 SAML 身份提供商 (IdP) 在身份验证过程中发送的消息,使用 SAML SSO 增强 GHES 安全性。
建议使用易受攻击的 GHES 版本的组织将其系统更新到最新版本,以防范潜在的安全威胁。