5月20日GitHub發布3.12.4、3.11.10、3.10.12、3.9.15版GitHub Enterprise Server(GHES),這次推出新版的主要目的,是修補重大層級的身分驗證繞過漏洞CVE-2024-4985,該漏洞影響採用SAML進行單一登入程序(SSO)的GHES執行個體,根據CVSS第4版的標準來評估該漏洞,他們認為此問題的危險程度達到10分滿分。
該公司指出,造成這項漏洞的產生有兩項要素,不只GHES要啟用SAML單一登入的功能,還要同時開啟名為Encrypted Assertions的加密通訊機制,才會曝險,而這項功能預設為關閉。他們強調,企業組織若是並未採用SAML單一簽入,或是採用前述身分驗證措施的情況下,沒有開啟前述加密通訊機制,都不會受到該漏洞影響。
而對於這項漏洞造成的影響,GitHub指出,攻擊者可透過偽造的SAML回應,存取具備管理員權限的GHES用戶帳號,完全無須通過身分驗證就能進行利用。
熱門新聞
2024-09-22
2024-09-21
2024-09-20
2024-09-20
2024-09-20
2024-09-21
Advertisement