...::: C & M News - Forum :::...

> Forums > Allgemeines Security Forum

Github Enterprise Server: Sicherheitsl�cke verleiht Angreifern Admin-Zugriff

schaf

Mi., 22. Mai, 2024 um 10:54

Die Schwachstelle betrifft alle GHES-Versionen vor 3.13.0 und erreicht den gr��tm�glichen CVSS-Score von 10. Gef�hrdet sind Instanzen mit SAML-SSO-Authentifizierung.

Im Github Enterprise Server (GHES) klafft eine kritische Sicherheitsl�cke, die es Angreifern erlaubt, die Authentifizierung anf�lliger Instanzen zu umgehen und sich einen Admin-Zugriff mit uneingeschr�nktem Zugang zu allen Inhalten zu verschaffen. Die Schwachstelle ist als CVE-2024-4985 registriert und erreicht mit einem maximal m�glichen CVSS-Score von 10 den h�chsten Schweregrad. Betroffen sind alle GHES-Versionen vor 3.13.0.

Damit die Sicherheitsl�cke ausgenutzt werden kann, muss auf der jeweiligen Zielinstanz die Authentifizierung via SAML-Single-Sign-On (SSO) aktiviert sein, zusammen mit der optionalen Encrypted-Assertions-Funktion. Laut Github kann ein Angreifer unter diesen Bedingungen eine gef�lschte SAML-Antwort an den Server �bermitteln und dadurch einen bestehenden Admin-Nutzer �bernehmen oder einen solchen neu erstellen.

C&M News: https://ress.at/-news22052024105455.html

> Forums > Allgemeines Security Forum

Du hast bereits für diesen Post angestimmt...

;-)

https://t.ress.at/EXw47/

Ähnliche Themen:

"Cyberpunk 2077": Sicherheitsl�cke macht Mods zum Sicherheitsrisiko

"Drucker-Albtraum": Offene Sicherheitsl�cke erlaubt die �bernahme gesamter Windows-Netzwerke

"PrintNightmare": Microsoft ver�ffentlicht Notfallpatch f�r schwere Sicherheitsl�cke

"�sterreich testet": Sicherheitsl�cke bot theoretisch Zugriff auf Daten Hunderttausender

AirDrop-Sicherheitsl�cke erlaubt Auslesen von Kontaktdaten

Amazon untersucht Sicherheitsl�cke in Fire-TV-Funktion

Amnesia:33 - Reihe von Sicherheitsl�cken gef�hrdet Internet der Dinge