Najnovije ažuriranje GitHub Enterprise Servera, verzija 3.13.3, adresiralo je kritičnu ranjivost (CVE-2024-6800), omogućavajući napadačima da krivotvore SAML odgovore i dobiju neovlašteni pristup.
Najnovije ažuriranje GitHub Enterprise Servera, verzija 3.13.3, adresiralo je kritičnu ranjivost (CVE-2024-6800), omogućavajući napadačima da krivotvore SAML odgovore i dobiju neovlašteni pristup.
Enterprise Server 3.13.3 uvodi nekoliko poboljšanja sa ciljem poboljšanja korisničkog iskustva i upravljanja sistemom
Dodatno, ova spokesctl checkfunkcija je nadograđena za dijagnostikovanje i, u mnogim slučajevima, automatsko rješavanje problema s praznim mrežama spremišta, pojednostavljujući upravljanje mrežom.
Kritične sigurnosne popravke rješavaju ranjivosti
Sigurnost ostaje glavni prioritet u ovom izdanju, s riješenim nekoliko kritičnih i srednjih ranjivosti:
Kritična SAML ranjivost (CVE-2024-6800):
Značajna bezbjednosna ranjivost ( CVE-2024-6800 ) je identifikovana u instancama GitHub Enterprise Servera koristeći SAML jednostruku prijavu (SSO) autentifikaciju sa određenim dobavljačima identiteta (IdP).
Ova ranjivost bi mogla omogućiti napadačima da krivotvore SAML odgovor kako bi dobili neovlašteni pristup korisničkim nalozima s privilegijama administratora stranice. Ovaj problem je prijavljen putem programa GitHub Bug Bounty i zakrpljen je.
Srednji nivo ranjivosti:
- CVE-2024-7711 : Napadač može izmijeniti naslov, nosioce i oznake izdanja u javnim spremištima.
- CVE-2024-6337 : Napadač može otkriti sadržaj problema iz privatnih spremišta koristeći GitHub aplikaciju sa određenim dozvolama. Obe ranjivosti su prijavljene putem GitHub Bug Bounty programa i otklonjene su.
Ispravke grešaka poboljšavaju stabilnost sistema
Ažuriranje također uključuje brojne ispravke grešaka za poboljšanje stabilnosti i performansi sistema:
- Problemi s konfiguracijom i nadogradnjom: Problemi kao što su nepotrebno pokretanje konfiguracije tokom hotpatchinga i uvjeti utrke koji blokiraju aktivnosti nadogradnje su riješeni.
- Upravljanje dnevnikom i migracija podataka: Napravljena su poboljšanja u upravljanju dnevnikom, uključujući rotaciju konfiguracijskih dnevnika i rješavanje problema s migracijom podataka dnevnika revizije na instancama pomoću naslijeđenih direktorija Elasticsearch.
- GitHub radnje i upravljanje uslugama: popravke rješavaju probleme s GitHub
- akcijama, kao što su neuspješna replikacija MS SQL-a i MySQL-a zbog nedovoljnog vremena čekanja i nepravilnog prikazivanja slika u problemima otvorenim na bočnom panelu Projekti.
Uprkos sveobuhvatnim popravkama, neki poznati problemi i dalje postoje. Tokom izvođenja konfiguracije, određene usluge mogu dobiti grešku „Nema takvog objekta“, iako bi i dalje trebale ispravno pokrenuti.
Instance s konfiguriranim zaglavljem HTTP X-Forwarded-For mogu doživjeti anomalije gdje se IP adrese klijenta netačno evidentiraju.
Dodatno, vraćanje klastera iz sigurnosne kopije zahtijeva posebne procedure, a korištenje memorije može povećati nakon nadogradnje, potencijalno uzrokujući prekide usluga tokom perioda velikog prometa.
Izvor: CyberSecurityNews