🥇GitHub Enterprise Server 취약점으로 인해 인증 없이 관리자 권한이 부여됨

자체 장비에 GitHub 기술을 기반으로 한 공동 개발을 위한 별도의 환경을 배포하기 위한 GitHub Enterprise Server 플랫폼 3.12.4, 3.11.10, 3.10.12 및 3.9.15의 수정 업데이트에서 취약점(CVE-2024)이 발생했습니다. -4985) 인증 없이 관리자 권한으로 접근이 가능한 것으로 확인되었습니다. 문제는 암호화된 어설션이 활성화된 SAML 기반 Single Sign-On 구성에서만 발생합니다. 기본적으로 이 모드는 비활성화되어 있지만 "설정/인증/암호화된 어설션 필요" 설정에서 활성화되어 보안 강화를 위한 추가 기능으로 제공됩니다.

취약점에는 심각한 심각도 수준(10점 만점에 10점)이 지정되었습니다. 공격을 수행하는 데 계정이 필요하지 않습니다. 취약점 악용에 대한 자세한 내용은 제공되지 않으며 SAML 응답 위조를 통해 공격이 수행된다는 것만 언급됩니다. 취약점에 대한 정보는 보안 발견에 대한 보상을 지급하는 GitHub Bug Bounty 프로그램 참가자로부터 얻은 것입니다. 문제.

출처 : opennet.ru

인증 없이 관리자 권한을 허용하는 GitHub Enterprise Server의 취약점