GitLab publikuje aktualizacje dla swoich produktów. (P24-343)

cert.pse-online.pl 4 miesięcy temu

Produkt	GitHub Enterprise Server – wersje 3.14.x wcześniejsze niż 3.14.2 GitHub Enterprise Server – wersje 3.13.x wcześniejsze niż 3.13.5 GitHub Enterprise Server – wersje 3.12.x wcześniejsze niż 3.12.10 GitHub Enterprise Server – wersje 3.11.x wcześniejsze niż 3.11.16
Numer CVE	CVE-2024-9539
Krytyczność	5.7/10
CVSS	AV:N/AC:H/AT:P/PR:L/UI:A/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N
Opis	Złośliwe adresy URL zasobów SVG zawierały informacje o użytkowniku ofiary, który kliknął adres URL, umożliwiając atakującemu pobranie metadanych należących do użytkownika i wykorzystanie ich do wygenerowania przekonującej strony phishingowej. Wymagało to od atakującego przesłania złośliwych plików SVG i wyłudzenia od użytkownika ofiary kliknięcia adresu URL przesłanego zasobu.

Numer CVE	CVE-2024-4985
Krytyczność	10/10
CVSS	AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/R:U/V:C/RE:M/U:Red
Opis	Atakujący może ominąć uwierzytelnianie SAML dzięki funkcji jednokrotnego logowania (SSO) dzięki opcjonalnej funkcji szyfrowanych potwierdzeń, umożliwiając nieautoryzowane dostarczanie użytkowników i dostęp do instancji, wykorzystując lukę w zabezpieczeniach związaną z nieprawidłową weryfikacją podpisów kryptograficznych w GitHub Enterprise Server.

Aktualizacja	TAK
Link	https://docs.github.com/en/enterprise-server@3.14/admin/release-notes https://docs.github.com/en/enterprise-server@3.13/admin/release-notes https://docs.github.com/en/enterprise-server@3.12/admin/release-notes https://docs.github.com/en/enterprise-server@3.11/admin/release-notes