Το GitHub έχει καθορίσει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας (auth bypass) μέγιστης σοβαρότητας (βαθμολογία CVSS v4: 10.0) που παρακολουθείται ως CVE-2024-4986, η οποία επηρεάζει το GitHub Enterprise Server (GHES), χρησιμοποιώντας έλεγχο ταυτότητας SAML single-sign-on (SSO).
Δείτε επίσης: Χάκερς εκμεταλλεύονται GitHub και FileZilla για να διαδώσουν Cocktail malware
Η εκμετάλλευση του ελαττώματος θα επέτρεπε σε έναν κακόβουλο παράγοντα να δημιουργήσει μια απάντηση SAML και να αποκτήσει δικαιώματα διαχειριστή, παρέχοντας απεριόριστη πρόσβαση σε όλα τα περιεχόμενα χωρίς να απαιτείται έλεγχος ταυτότητας.
Το GHES που επηρεάζεται από το ελάττωμα auth bypass είναι μια αυτο-φιλοξενούμενη έκδοση του GitHub που έχει σχεδιαστεί για οργανισμούς που προτιμούν να αποθηκεύουν αποθετήρια στους δικούς τους διακομιστές ή σε ιδιωτικά περιβάλλοντα cloud.
Καλύπτει τις ανάγκες μεγάλων επιχειρήσεων ή ομάδων ανάπτυξης που απαιτούν μεγαλύτερο έλεγχο στα περιουσιακά τους στοιχεία, οντότητες που χειρίζονται ευαίσθητα ή ιδιόκτητα δεδομένα, οργανισμούς με ανάγκες υψηλής απόδοσης και χρήστες που απαιτούν δυνατότητες πρόσβασης εκτός σύνδεσης.
Δείτε ακόμα: Σχόλια του GitHub καταχρώνται για την προώθηση malware
Το ελάττωμα auth bypass, το οποίο υποβλήθηκε στο πρόγραμμα Bug Bounty του GitHub, επηρεάζει μόνο περιπτώσεις που χρησιμοποιούν SSO της Γλώσσας Σήμανσης Ασφαλείας (SAML) με κρυπτογραφημένους ισχυρισμούς. Αυτή η προαιρετική δυνατότητα προστατεύει τα δεδομένα από υποκλοπές (επιθέσεις man-in-the-middle).
Λόγω του ότι οι κρυπτογραφημένοι ισχυρισμοί δεν είναι η προεπιλεγμένη ρύθμιση στο GHES, το CVE-2024-4986 επηρεάζει μόνο περιπτώσεις των οποίων οι διαχειριστές έχουν ενεργοποιήσει τη δυνατότητα ασφαλείας. Η ευπάθεια έχει επιδιορθωθεί στις εκδόσεις GHEL 3.12.4, 3.11.10, 3.10.12 και 3.9.15, που κυκλοφόρησαν όλες χθες, στις 20 Μαΐου.
Δείτε επίσης: Κακόβουλα Visual Studio projects στο GitHub ωθούν το Keyzetsu
Τι είναι το GitHub και ποιες είναι οι βασικές λειτουργίες του;
Πέρα από το ελάττωμα auth bypass στο Enterprise Server, το GitHub είναι μια διαδικτυακή πλατφόρμα που επιτρέπει στους προγραμματιστές να φιλοξενούν και να διαχειρίζονται τον κώδικά τους, καθώς και να συνεργάζονται με άλλους προγραμματιστές από όλο τον κόσμο. Χρησιμοποιεί το σύστημα ελέγχου εκδόσεων Git, το οποίο επιτρέπει την παρακολούθηση των αλλαγών στον κώδικα και την επιστροφή σε προηγούμενες εκδόσεις αν χρειαστεί. Μία από τις βασικές λειτουργίες του GitHub είναι τα αποθετήρια (repositories). Αυτά είναι οι χώροι όπου αποθηκεύεται ο κώδικας και μπορούν να είναι είτε δημόσια είτε ιδιωτικά. Τα δημόσια αποθετήρια είναι προσβάσιμα από οποιονδήποτε, ενώ τα ιδιωτικά αποθετήρια είναι προσβάσιμα μόνο από συγκεκριμένα άτομα. Η δυνατότητα δημιουργίας και διαχείρισης branches είναι επίσης μια σημαντική λειτουργία του GitHub. Τα branches επιτρέπουν στους προγραμματιστές να εργάζονται σε διαφορετικές εκδόσεις του κώδικα ταυτόχρονα, χωρίς να επηρεάζουν την κύρια έκδοση.
Πηγή: bleepingcomputer
