Auf Github Enterprise Server sind unter bestimmten Voraussetzungen unbefugte Zugriffe möglich. Entsprechende Sicherheitsupdates sind verfügbar.

Die abgesicherten Versionen 3.11.16, 3.12.10, 3.13.5 und 3.14.12 stehen zum Download bereit. Damit auch ältere Ausgaben, die sich nicht mehr im Support befinden, Sicherheitsupdates erhalten, ist ein Upgrade notwendig. Laut den Release Notes hat die kritische Schwachstelle (CVE-2024-9487) ihren Ursprung in einem Fix für eine ähnliche Lücke (CVE-2024-4985 "kritisch") aus Mai dieses Jahres.

Ausschließlich Instanzen, die zur Authentifizierung auf SAML SSO setzen, sind betroffen. Die Funktion Encrypted Assertions muss außerdem aktiv sein, was laut den Entwicklern standardmäßig nicht der Fall ist. Zusätzlich benötigen die Angreifer Netzwerkzugriff und eine signierte SAML Response. Sind alle Voraussetzungen erfüllt, könnte ein Angreifer aufgrund von unzureichenden Zertifikatsüberprüfungen die Authentifizierung umgehen.

Weiterhin haben die Entwickler eine zweite Sicherheitslücke (CVE-2024-9539 "mittel") geschlossen. Informationen können leaken, wenn Opfer auf eine präparierte URL klicken.

Bislang ist nicht bekannt, ob es bereits Angriffe gibt. Verantwortliche sollten zügig die Sicherheitsupdates installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE