[TLP:CLEAR] GitHub Enterprise Server opravuje 3 zraniteľnosti
GitHub verziami 3.13.3, 3.12.8, 3.11.14 a 3.10.16 opravuje 3 zraniteľnosti a niekoľko chýb v produkte GitHub Enterprise Server [4][5][6][7].
Autentizovanému vzdialenému útočníkovi s právami na čítanie obsahu a vytváranie "pull request" je umožnené neoprávnene zdielať informácie, týkajúce sa "issues", z privátneho repozitáru [1].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (<3.10.16) OR (>=3.11 AND <3.11.14) OR (>=3.12 AND <3.12.8) OR (>=3.13 AND <3.13.3).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2024-6337 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 20. 8. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene meniť informácie, týkajúce sa "issues", vo verejných repozitároch [2].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (>=3.11 AND <3.11.14) OR (>=3.12 AND <3.12.8) OR (>=3.13 AND <3.13.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2024-7711 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 20. 8. 2024.
Neautentizovanému vzdialenému útočníkovi je umožnené získať prístup k administrátorským účtom webu pomocou špeciálne vytvorenej SAML odpovede. Zraniteľnosť je zneužiteľná iba v prípade, že stroj využíva SAML SSO autentifikáciu so špecifickými poskytovateľmi identít (IdP), využívajúcimi verejne dostupné podpísané federatívne metadáta vo formáte XML [3].
Zraniteľnosť sa nachádza v produkte GitHub Enterprise Server vo verziách (<3.10.16) OR (>=3.11 AND <3.11.14) OR (>=3.12 AND <3.12.8) OR (>=3.13 AND <3.13.3).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2024-6800 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-347: Improper Verification of Cryptographic Signature at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 20. 8. 2024.
Odkazy
- [1] https://www.cve.org/cverecord?id=CVE-2024-6337
- [2] https://www.cve.org/cverecord?id=CVE-2024-7711
- [3] https://www.cve.org/cverecord?id=CVE-2024-6800
- [4] https://docs.github.com/en/enterprise-server@3.13/admin/release-notes#3.13.3
- [5] https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.8
- [6] https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.14
- [7] https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.16