GitHub Enterprise Server: scoperta falla critica di autenticazione

Una vulnerabilità critica che interessa più versioni di GitHub Enterprise Server potrebbe essere sfruttata per aggirare l'autenticazione e consentire a un aggressore di ottenere privilegi di amministratore sulla macchina. Il problema di sicurezza è identificato come CVE-2024-6800 e ha ricevuto una valutazione di gravità di 9,5 secondo lo standard CVSS 4.0. Il bug è descritto come un problema di wrapping della firma XML. Si verifica quando si utilizza lo standard di autenticazione Security Assertion Markup Language (SAML) con determinati provider di identità. Come riportato dall’azienda: "nelle istanze di GitHub Enterprise Server che utilizzano l'autenticazione SAML Single Sign-On (SSO) con specifici IdP che utilizzano XML di metadati di federazione firmati esposti pubblicamente, un aggressore potrebbe falsificare una risposta SAML per fornire e/o ottenere l'accesso a un account utente con privilegi di amministratore del sito".

GitHub Enterprise Server (GHES) è una versione locale di GitHub. È dedicata alle aziende che non hanno esperienza nel lavorare con il cloud pubblico o che vogliono gestire i controlli di accesso e sicurezza. Secondo il motore di ricerca FOFA per le risorse di rete esposte sul web pubblico, ci sono più di 36.500 istanze GHES accessibili tramite Internet, la maggior parte delle quali (29.200) si trova negli Stati Uniti. Tuttavia, non è chiaro quante delle macchine GHES esposte stiano eseguendo una versione vulnerabile del prodotto. GitHub ha affrontato il problema nelle versioni GHES 3.13.3, 3.12.8, 3.11.14 e 3.10.16.

GitHub Enterprise Server: correzioni per altri due bug di media gravità

Le nuove release di GHES includono anche correzioni per altre due vulnerabilità, entrambe con un punteggio di gravità medio. La prima è CVE-2024-7711 e consente agli aggressori di modificare i problemi nei repository pubblici. La seconda è CVE-2024-6337 e riguarda la divulgazione del contenuto del problema da un repository privato. Tutti e tre i problemi di sicurezza sono stati segnalati tramite il programma Bug Bounty di GitHub sulla piattaforma HackerOne. GitHub avverte che alcuni servizi potrebbero mostrare errori durante il processo di configurazione dopo l'applicazione degli aggiornamenti di sicurezza, ma l'istanza dovrebbe comunque avviarsi correttamente. Nell’avviso sono inoltre segnalati diversi problemi relativi alle voci di registro, all'utilizzo della memoria e alle interruzioni del servizio durante operazioni specifiche. Quindi, si consiglia agli amministratori di sistema di controllare la sezione "Problemi noti" prima di applicare l'aggiornamento.