Критическая уязвимость в GitHub Enterprise Server: необходимо срочное обновление

Недавно в GitHub Enterprise Server (GHES) — платформе, которая позволяет компаниям организовывать и управлять разработкой программного обеспечения в частной облачной среде, была выявлена серьёзная уязвимость. Идентифицированная под номером CVE-2024-4985, она позволяла злоумышленникам получать административный доступ к системам без необходимости проходить аутентификацию. Это представляло угрозу для всех операций, проводимых в рамках GHES.

Уязвимость затрагивала все системы на версиях до 3.13.0 и была связана с механизмом SAML SSO, который обычно служит для упрощения процесса входа пользователей через единый аутентификационный сервис. Особенно уязвимыми оказались те настройки GHES, где включена функция зашифрованных утверждений, улучшающая защиту данных в процессе их передачи.

Компания GitHub уже выпустила патчи для устранения этой проблемы в версиях 3.9.15, 3.10.12, 3.11.10 и 3.12.4. Российским пользователям GHES настоятельно рекомендуется как можно скорее обновить свои системы до последних версий, чтобы предотвратить возможные угрозы безопасности.

В свете этого инцидента, GitHub также заявил о планах по усилению защитных механизмов своих продуктов. Это включает в себя улучшение методов шифрования и верификации данных, что необходимо для предотвращения подобных уязвимостей в будущем и для обеспечения более высокого уровня безопасности в корпоративных облачных решениях.