尽快更新:GitHub 修补 Enterprise Server 中的漏洞

阅读量50383

发布时间 : 2024-01-18 10:18:08

去年的 SSH 密钥泄露迫使该公司变得更加警惕。

GitHub 最近修补了 企业服务器不安全反射漏洞 CVE -2024-0200,该漏洞允许攻击者在不安全的服务器上执行远程代码。此漏洞允许访问生产容器环境变量,包括凭据,但其利用需要具有管理访问权限的组织所有者角色进行身份验证。

此安全漏洞于 2023 年 12 月 26 日通过 GitHub 上的 Bug Bounty 计划首次报告。收到报告后,该公司迅速修复了该漏洞并开始更新所有可能受损的凭据。GitHub 副总裁兼安全副主管 Jacob DePriest 表示高度相信,黑客没有时间利用该漏洞谋取私利。

作为预防措施,GitHub 还更新了访问密钥。大多数不需要用户操作,但使用 GitHub 提交签名密钥以及 GitHub Actions、Codespaces 和 Dependabot 客户端加密密钥的用户将需要手动导入新的公钥。一般来说,该公司建议通过API定期更新公钥,以确保数据安全且最新。

此外,昨天 GitHub 还修复了 Enterprise Server 中的另一个漏洞( CVE-2024-0507 ),该漏洞允许管理控制台中具有编辑者角色的用户升级权限。该更新适用于 Enterprise Server 版本 3.8.13、3.9.8、3.10.5 和 3.11.3。该公司建议不要拖延安装并尽快应用补丁。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66