> Forums > Allgemeines Security Forum

Github Enterprise Server: Sicherheitslücke verleiht Angreifern Admin-Zugriff

Erstellt
Mai. '24
 letzte Antwort
Noch keine
 Antworten
Noch keine
 Aufrufe
20
0
„Gefällt mir“		 Abos
Noch keine
Mi., 22. Mai, 2024 um 10:54
#1

Die Schwachstelle betrifft alle GHES-Versionen vor 3.13.0 und erreicht den größtmöglichen CVSS-Score von 10. Gefährdet sind Instanzen mit SAML-SSO-Authentifizierung.



Im Github Enterprise Server (GHES) klafft eine kritische Sicherheitslücke, die es Angreifern erlaubt, die Authentifizierung anfälliger Instanzen zu umgehen und sich einen Admin-Zugriff mit uneingeschränktem Zugang zu allen Inhalten zu verschaffen. Die Schwachstelle ist als CVE-2024-4985 registriert und erreicht mit einem maximal möglichen CVSS-Score von 10 den höchsten Schweregrad. Betroffen sind alle GHES-Versionen vor 3.13.0.

Damit die Sicherheitslücke ausgenutzt werden kann, muss auf der jeweiligen Zielinstanz die Authentifizierung via SAML-Single-Sign-On (SSO) aktiviert sein, zusammen mit der optionalen Encrypted-Assertions-Funktion. Laut Github kann ein Angreifer unter diesen Bedingungen eine gefälschte SAML-Antwort an den Server übermitteln und dadurch einen bestehenden Admin-Nutzer übernehmen oder einen solchen neu erstellen.





C&M News: https://ress.at/-news22052024105455.html
> Forums > Allgemeines Security Forum

Du hast bereits für diesen Post abgestimmt...

;-)



Logo https://t.ress.at/EXw47/


Ähnliche Themen:
"Cyberpunk 2077": Sicherheitslücke macht Mods zum Sicherheitsrisiko

"Drucker-Albtraum": Offene Sicherheitslücke erlaubt die Übernahme gesamter Windows-Netzwerke

"PrintNightmare": Microsoft veröffentlicht Notfallpatch für schwere Sicherheitslücke

"Österreich testet": Sicherheitslücke bot theoretisch Zugriff auf Daten Hunderttausender

20 Bergarbeiter von Angreifern in Pakistan getötet

AirDrop-Sicherheitslücke erlaubt Auslesen von Kontaktdaten

Airpods erlauben wegen Sicherheitslücke das Mithören






© by Ress Design Group, 2001 - 2024

Top