GitHub publikuje aktualizacje dla swoich produktów. (P24-274)

cert.pse-online.pl 3 miesięcy temu
ProduktGitHub Enterprise Server – wersje 3.13.x wcześniejsze niż 3.13.3
GitHub Enterprise Server – wersje 3.12.x wcześniejsze niż 3.12.8
GitHub Enterprise Server – wersje 3.11.x wcześniejsze niż 3.11.14
GitHub Enterprise Server – wersje 3.10.x wcześniejsze niż 3.10.16
Numer CVECVE-2024-6800
Krytyczność9.5/10
CVSSAV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/R:U/V:C/RE:H/U:Red
OpisW przypadku wystąpień GitHub Enterprise Server, które używają uwierzytelniania SAML single sign-on (SSO) z określonymi dostawcami tożsamości wykorzystującymi publicznie ujawnione podpisane metadane federacji XML, atakujący może sfałszować odpowiedź SAML w celu zapewnienia i/lub uzyskania dostępu do konta użytkownika z uprawnieniami administratora witryny.
Numer CVECVE-2024-7711
Krytyczność5.3/10
CVSSAV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/R:U/V:C/RE:H/U:Red
OpisAtakujący może zaktualizować tytuł, osoby przypisane i etykiety dowolnego problemu w publicznym repozytorium. Można to było wykorzystać tylko w publicznym repozytorium, a prywatne/wewnętrzne repozytoria nie były zagrożone.
Numer CVECVE-2024-6337
Krytyczność5.9/10
CVSSAV:N/AC:H/AT:P/PR:L/UI:P/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N/S:N
OpisAtakujący mógł ujawnić zawartość problemu z prywatnego repozytorium, używając aplikacji GitHub z zawartością: odczyt i żądania ściągnięcia: uprawnienia do zapisu. Było to możliwe tylko za pośrednictwem tokena dostępu użytkownika, a tokeny dostępu do instalacji nie zostały naruszone.
AktualizacjaTAK
Linkhttps://docs.github.com/en/enterprise-server@3.13/admin/release-notes
Idź do oryginalnego materiału