GitHub publikuje aktualizacje dla swoich produktów. (P24-274)

cert.pse-online.pl 1 miesiąc temu

Produkt	GitHub Enterprise Server – wersje 3.13.x wcześniejsze niż 3.13.3 GitHub Enterprise Server – wersje 3.12.x wcześniejsze niż 3.12.8 GitHub Enterprise Server – wersje 3.11.x wcześniejsze niż 3.11.14 GitHub Enterprise Server – wersje 3.10.x wcześniejsze niż 3.10.16
Numer CVE	CVE-2024-6800
Krytyczność	9.5/10
CVSS	AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/R:U/V:C/RE:H/U:Red
Opis	W przypadku wystąpień GitHub Enterprise Server, które używają uwierzytelniania SAML single sign-on (SSO) z określonymi dostawcami tożsamości wykorzystującymi publicznie ujawnione podpisane metadane federacji XML, atakujący może sfałszować odpowiedź SAML w celu zapewnienia i/lub uzyskania dostępu do konta użytkownika z uprawnieniami administratora witryny.

Numer CVE	CVE-2024-7711
Krytyczność	5.3/10
CVSS	AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L/R:U/V:C/RE:H/U:Red
Opis	Atakujący może zaktualizować tytuł, osoby przypisane i etykiety dowolnego problemu w publicznym repozytorium. Można to było wykorzystać tylko w publicznym repozytorium, a prywatne/wewnętrzne repozytoria nie były zagrożone.

Numer CVE	CVE-2024-6337
Krytyczność	5.9/10
CVSS	AV:N/AC:H/AT:P/PR:L/UI:P/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N/S:N
Opis	Atakujący mógł ujawnić zawartość problemu z prywatnego repozytorium, używając aplikacji GitHub z zawartością: odczyt i żądania ściągnięcia: uprawnienia do zapisu. Było to możliwe tylko za pośrednictwem tokena dostępu użytkownika, a tokeny dostępu do instalacji nie zostały naruszone.

Aktualizacja	TAK
Link	https://docs.github.com/en/enterprise-server@3.13/admin/release-notes