Mises à jour de sécurité critiques pour GitHub Enterprise Server : que faire ?
Aujourd’hui, nous abordons les mises à jour de sécurité déployées par GitHub pour corriger une faille critique présente dans sa solution GitHub Enterprise Server, permettant à un attaquant de contourner l’authentification. Voyons ensemble les détails.
Faille de sécurité critique dans GitHub Enterprise Server
Associée à la référence CVE-2024-4985 et à un score CVSS maximal de 10 sur 10, cette faille de sécurité peut être exploitée par un attaquant pour accéder à l’instance GitHub Enterprise Server, sans être authentifié au préalable. Contrairement à la plateforme GitHub, la solution GitHub Enterprise Server est destinée à être auto-hébergée par les organisations soucieuses de vouloir gérer leur code avec Git sur leur propre serveur.
Au sein de la note de publication de la nouvelle version de GitHub Enterprise Server, voici ce que l’on peut lire : “Sur les instances qui utilisent l’authentification unique SAML (SSO) avec la fonction optionnelle d’assertions chiffrées, un attaquant pourrait falsifier une réponse SAML pour provisionner et/ou obtenir l’accès à un utilisateur avec des privilèges d’administrateur.”
Impact de la vulnérabilité
L’exploitation de cette vulnérabilité pourrait permettre à un attaquant d’accéder aux différents projets et codes sources présents sur le serveur compromis.
Il est important de préciser que GitHub indique que la fonctionnalité des assertions chiffrées n’est pas activée par défaut. De plus, cette vulnérabilité n’affecte pas les instances GHES où l’authentification unique SAML (SSO) n’est pas utilisée, ainsi que celles qui utilisent l’authentification SAML SSO mais sans assertions chiffrées.
Cette fonctionnalité est décrite sur cette page : “Vous pouvez améliorer la sécurité de votre instance GitHub Enterprise Server avec l’authentification unique SAML en chiffrant les messages envoyés par votre fournisseur d’identité (IdP) SAML.”
Comment se protéger ?
Cette faille de sécurité affecte toutes les versions de GitHub Enterprise Server antérieures à la version 3.13.0. Le 20 mai 2024, GitHub a publié de nouvelles versions pour corriger cette vulnérabilité : 3.12.4, 3.11.10, 3.10.12, et 3.9.15.
Si vous utilisez une version vulnérable de GitHub Enterprise Server, il est recommandé d’effectuer la mise à jour de l’application dès que possible pour vous protéger de cette menace potentielle. Ceci est d’autant plus un important qu’un exploit PoC semble disponible sur GitHub, sur cette page.
Source
Source : www.it-connect.fr