1 juillet 2024

Krusell France

Ta dose d'actu digital !

Mises à jour de sécurité critiques pour GitHub Enterprise Server : que faire ?

1 mois ago Julien Castex
GitHub Enterprise Server - Faille de sécurité - CVE-2024-4985
Rate this post

Aujourd’hui, nous abordons les mises à jour de sécurité déployées par GitHub pour corriger une faille critique présente dans sa solution GitHub Enterprise Server, permettant à un attaquant de contourner l’authentification. Voyons ensemble les détails.

Sommaire masquer
1 Faille de sécurité critique dans GitHub Enterprise Server
2 Impact de la vulnérabilité
3 Comment se protéger ?
4 Source
5 Actualités similaires :

Faille de sécurité critique dans GitHub Enterprise Server

Associée à la référence CVE-2024-4985 et à un score CVSS maximal de 10 sur 10, cette faille de sécurité peut être exploitée par un attaquant pour accéder à l’instance GitHub Enterprise Server, sans être authentifié au préalable. Contrairement à la plateforme GitHub, la solution GitHub Enterprise Server est destinée à être auto-hébergée par les organisations soucieuses de vouloir gérer leur code avec Git sur leur propre serveur.

Au sein de la note de publication de la nouvelle version de GitHub Enterprise Server, voici ce que l’on peut lire : “Sur les instances qui utilisent l’authentification unique SAML (SSO) avec la fonction optionnelle d’assertions chiffrées, un attaquant pourrait falsifier une réponse SAML pour provisionner et/ou obtenir l’accès à un utilisateur avec des privilèges d’administrateur.”

Impact de la vulnérabilité

L’exploitation de cette vulnérabilité pourrait permettre à un attaquant d’accéder aux différents projets et codes sources présents sur le serveur compromis.

Il est important de préciser que GitHub indique que la fonctionnalité des assertions chiffrées n’est pas activée par défaut. De plus, cette vulnérabilité n’affecte pas les instances GHES où l’authentification unique SAML (SSO) n’est pas utilisée, ainsi que celles qui utilisent l’authentification SAML SSO mais sans assertions chiffrées.

Cette fonctionnalité est décrite sur cette page : “Vous pouvez améliorer la sécurité de votre instance GitHub Enterprise Server avec l’authentification unique SAML en chiffrant les messages envoyés par votre fournisseur d’identité (IdP) SAML.”

Comment se protéger ?

Cette faille de sécurité affecte toutes les versions de GitHub Enterprise Server antérieures à la version 3.13.0. Le 20 mai 2024, GitHub a publié de nouvelles versions pour corriger cette vulnérabilité : 3.12.4, 3.11.10, 3.10.12, et 3.9.15.

Si vous utilisez une version vulnérable de GitHub Enterprise Server, il est recommandé d’effectuer la mise à jour de l’application dès que possible pour vous protéger de cette menace potentielle. Ceci est d’autant plus un important qu’un exploit PoC semble disponible sur GitHub, sur cette page.

Source

Source : www.it-connect.fr

  • Julien Castex

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Problème d’installation KB5037765 sur Windows Server 2019 : Que faire ?
  2. Faille de sécurité zero-day CVE-2024-30051 exploitée par QakBot : que faire ?
  3. Les mises à jour de Google Gemini révolutionnent l’IA multimodale
  4. Le succès éclatant de GTA 5 : des millions de joueurs et des mises à jour constantes.
  5. Helldivers 2 : Studio Arrowhead ralentit le rythme des mises à jour.
  6. Google dévoile les dernières mises à jour d’IA lors de la conférence I/O 2024
Tags:

Plus d'actu

Cyberattaque TeamViewer - Vol de mots de passe - Juin 2024

TeamViewer : révélations sur l’attaque de Midnight Blizzard

13 minutes ago Julien Castex
Test Geekom GT13 Pro - Mini PC haut de gamme

Test et avis sur le mini PC Geekom GT13 Pro : performances et design au top !

2 jours ago Julien Castex
vérifier état de santé disque dur et disque SSD sur Windows

Les meilleurs outils pour tester la santé de votre disque dur

3 jours ago Julien Castex

Vous avez peut-être manqué

Bitcoin Mt. Gox creditors will soon benefit from $9 billion payback — their BTC is over 10,000% more valuable than when it went missing

Mt. Gox récupère $9 milliards en Bitcoins: les anciens clients en profitent

7 minutes ago Romain Barry
Elden Ring writer George R.R. Martin tells us nothing and everything about a live-action spin-off

George R.R. Martin : “Elden Ring bientôt adapté en film ou série TV ?”

12 minutes ago Alex Lopez
Cyberattaque TeamViewer - Vol de mots de passe - Juin 2024

TeamViewer : révélations sur l’attaque de Midnight Blizzard

13 minutes ago Julien Castex

Découvrez le lineup d’XSEED Games pour l’Anime Expo 2024 à Los Angeles

15 minutes ago Alex Lopez