Des mises à jour ont été publiées par GitHub pour corriger une vulnérabilité de sécurité de gravité maximale affectant sa plate-forme de développement logiciel auto-hébergée GitHub Enterprise Server, suivie comme CVE-2024-4985, qui pourrait être exploitée pour échapper aux défenses d’authentification. L’actualité des hackers rapports.
Les attaquants pourraient exploiter la faille, qui affecte toutes les versions de GHES antérieures à 3.13.0, pour obtenir un accès non autorisé aux instances GHES avec l’authentification unique SAML et la fonctionnalité facultative d’assertions cryptées, selon GitHub.
“Sur les instances qui utilisent l’authentification unique SAML (SSO) avec la fonctionnalité facultative d’assertions chiffrées, un attaquant pourrait forger une réponse SAML pour fournir et/ou accéder à un utilisateur disposant de privilèges d’administrateur”, a déclaré GitHub.
Les mises à jour immédiates des versions GHES 3.9.15, 3.10.12, 3.11.10 et 3.12.4 sont cruciales pour les organisations disposant d’instances GHES vulnérables, a noté GitHub, qui a souligné que le problème de sécurité n’a pas eu d’impact sur les instances GHES sans SAML SSO ou avec SAML. SSO mais pas les assertions chiffrées qui permettent le chiffrement des messages du fournisseur d’identité SAML.
2024-05-22 16:46:00
1716386465
#GitHub #corrige #une #vulnérabilité #gravité #maximale #sur #Enterprise #Server
