美国数千人面临 GitHub Enterprise 服务器严重缺陷的风险

美国数千个使用 SAML 单点登录 (SSO) 身份验证的 GitHub Enterprise Server (GHES) 实例面临着因严重漏洞而引发的高风险，目前该漏洞已在开放互联网上出现概念验证漏洞。

GitHub Enterprise Server 是一个自托管的软件开发平台，可充当独立的虚拟设备。它使用 Git 版本控制、强大的 API、生产力和协作工具以及集成来帮助构建和交付软件。建议在受监管合规性约束的企业中使用GHES，这有助于避免公共云中的软件开发平台出现的问题。

GitHub 周一推出了修复程序，以解决 GitHub Enterprise Server 中的一个最严重漏洞，该漏洞可能允许攻击者绕过身份验证保护。

该严重缺陷被追踪为 CVE-2024-4985，在 CVSS 等级上具有最高的严重等级，因为它允许攻击者未经授权访问目标实例，而无需事先进行身份验证。

GitHub解释说：“在使用 SAML 单点登录 (SSO) 身份验证和可选加密断言功能的实例中，攻击者可以伪造 SAML 响应来配置和/或获得对具有管理员权限的用户的访问权限。”

GitHub 表示，默认情况下不启用加密断言。它进一步补充道：“不使用 SAML SSO 或使用没有加密断言的 SAML SSO 身份验证的实例不受影响。”

加密断言通过加密 SAML 身份提供商 (IdP) 发送的消息来提高 GHES 实例与 SAML SSO 的安全性。

GitHub 指出，该严重漏洞影响 3.13.0 之前的所有 GHES 版本。它已在版本 3.9.15、3.10.12、3.11.10 和 3.12.4 中修复。

然而，升级到最新补丁的用户可能会面临一些问题。此更新版本的已知问题有：

• 升级过程中将删除自定义防火墙规则。
• 在配置运行的验证阶段，Notebook 和 Viewscreen 服务可能会出现“无此对象”错误。此错误可以忽略，因为服务仍应正确启动。
• 如果根站点管理员在登录尝试失败后被锁定在管理控制台之外，则该帐户不会在定义的锁定时间后自动解锁。具有实例管理 SSH 访问权限的人员必须使用管理 shell 解锁该帐户。
• 如果实例配置为将日志转发到启用了 TLS 的目标服务器，则站点管理员使用 ghe-ssl-ca-certificate-install上传的证书颁发机构 (CA) 捆绑包 将不受尊重，并且与服务器的连接会失败。
• /var/log/mysql/mysql.err文件中的mbind ：不允许操作错误 可以忽略。当 不需要CAP_SYS_NICE功能时， MySQL 8 无法正常处理 ，而是输出错误而不是警告。
• 在 AWS 中托管的实例上，管理员重新启动实例后，系统时间可能会与 Amazon 的服务器失去同步。
• 在配置了 HTTP X-Forwarded-For 标头以在负载均衡器后面使用的实例上，该实例的审核日志中的所有客户端 IP 地址都错误地显示为 127.0.0.1。
• 在某些情况下，存储在存储库中的大型 .adoc 文件无法在 Web UI 中正确呈现。原始内容仍然可以以纯文本形式查看。
• 在集群配置中的实例上，如果 Redis 尚未正确重启，使用ghe-restore恢复备份 将过早退出。
• 在启用了 GitHub Actions 的实例上，部署 GitHub Pages 站点的 Actions 工作流可能会失败。
• 最初使用ghe-migrator导入的存储库将无法正确跟踪高级安全贡献。

PoC 上市，数千人面临风险
ODIN 是 Cyble 推出的一款用于攻击面管理和威胁情报的互联网搜索引擎，它发现，暴露在互联网上的近3,000 个Github Enterprise Server 实例容易受到 CVE-2024-4985 的攻击。

其中，目前未打补丁且面临被利用风险的实例数量最多 (209k)来自美国，其次是爱尔兰，有 331 个易受攻击的实例。

ODIN 的客户可以使用查询：services.modules.http.title：“Github Enterprise”来跟踪易受攻击的实例。

受 CVE-2024-4985 攻击的 GitHub Enterprise Server 的国家/地区分布（来源：Cyble 的 ODIN）
这个最严重的错误需要紧急修补，因为GitHub 本身现已提供概念验证。 GitHub 用户已经给出了有关 PoC 漏洞利用的分步指南，因此预计很快就会出现广泛的利用（如果尚未发生的话）。