官方强烈建议更新,关键漏洞影响GitHub Enterprise Server 所有版本

本文主要是介绍官方强烈建议更新,关键漏洞影响GitHub Enterprise Server 所有版本,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

近日,GitHub Bug Bounty 计划报告了一个影响 GitHub Enterprise Server(GHES)当前所有支持版本的关键漏洞(CVE-2024-6800),该漏洞可能允许攻击者获得对该实例内容的无限制访问。目前,漏洞已经解决,强烈建议管理员尽快更新,以确保系统安全。

关于 CVE-2024-6800

GitHub Enterprise Server 是一个自托管的软件开发平台,通常是为了遵守需要对代码仓库有更多控制/安全性的特定法规。

它以自包含的虚拟设备的形式出现,安装在虚拟机上。运行 Linux 操作系统并配备自定义的应用程序堆栈。

根据软件的发布说明,CVE-2024-6800 是一个 XML 签名包装漏洞,允许攻击者绕过身份验证,但只有在实例使用 SAML 单点登录(SSO)认证,并且与使用公开暴露的签名联合元数据 XML 的特定身份提供者结合。

该漏洞允许具有对 GitHub Enterprise Server 直接网络访问权限的攻击者伪造 SAML 响应,以配置和/或获得具有站点管理员权限的用户访问。

安全更新建议

建议在自己的基础设施上运行 GitHub Enterprise Server 实例并使用 SAML SSO 认证的组织升级到以下已修复的 GHES 版本之一:

  • 3.13.3
  • 3.12.8
  • 3.11.14
  • 3.10.16

对于仍在使用 3.10 版本的企业,建议尽快升级到更新的版本,因为 3.10 版本将于 2024 年 8 月 29 日停止服务,届时将不再提供补丁或安全修复。

参考来源:

Critical GitHub Enterprise Server auth bypass flaw fixed (CVE-2024-6800) - Help Net Security

这篇关于官方强烈建议更新,关键漏洞影响GitHub Enterprise Server 所有版本的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1100414

相关文章

Spring Boot 整合 SSE的高级实践(Server-Sent Events)

《SpringBoot整合SSE的高级实践(Server-SentEvents)》SSE(Server-SentEvents)是一种基于HTTP协议的单向通信机制,允许服务器向浏览器持续发送实... 目录1、简述2、Spring Boot 中的SSE实现2.1 添加依赖2.2 实现后端接口2.3 配置超时时

SQL server配置管理器找不到如何打开它

《SQLserver配置管理器找不到如何打开它》最近遇到了SQLserver配置管理器打不开的问题,尝试在开始菜单栏搜SQLServerManager无果,于是将自己找到的方法总结分享给大家,对SQ... 目录方法一:桌面图标进入方法二:运行窗口进入方法三:查找文件路径方法四:检查 SQL Server 安

MySQL中动态生成SQL语句去掉所有字段的空格的操作方法

《MySQL中动态生成SQL语句去掉所有字段的空格的操作方法》在数据库管理过程中,我们常常会遇到需要对表中字段进行清洗和整理的情况,本文将详细介绍如何在MySQL中动态生成SQL语句来去掉所有字段的空... 目录在mysql中动态生成SQL语句去掉所有字段的空格准备工作原理分析动态生成SQL语句在MySQL

MySQL更新某个字段拼接固定字符串的实现

《MySQL更新某个字段拼接固定字符串的实现》在MySQL中,我们经常需要对数据库中的某个字段进行更新操作,本文就来介绍一下MySQL更新某个字段拼接固定字符串的实现,感兴趣的可以了解一下... 目录1. 查看字段当前值2. 更新字段拼接固定字符串3. 验证更新结果mysql更新某个字段拼接固定字符串 -

python连接本地SQL server详细图文教程

《python连接本地SQLserver详细图文教程》在数据分析领域,经常需要从数据库中获取数据进行分析和处理,下面:本文主要介绍python连接本地SQLserver的相关资料,文中通过代码... 目录一.设置本地账号1.新建用户2.开启双重验证3,开启TCP/IP本地服务二js.python连接实例1.

浅谈配置MMCV环境,解决报错,版本不匹配问题

《浅谈配置MMCV环境,解决报错,版本不匹配问题》:本文主要介绍浅谈配置MMCV环境,解决报错,版本不匹配问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录配置MMCV环境,解决报错,版本不匹配错误示例正确示例总结配置MMCV环境,解决报错,版本不匹配在col

Linux卸载自带jdk并安装新jdk版本的图文教程

《Linux卸载自带jdk并安装新jdk版本的图文教程》在Linux系统中,有时需要卸载预装的OpenJDK并安装特定版本的JDK,例如JDK1.8,所以本文给大家详细介绍了Linux卸载自带jdk并... 目录Ⅰ、卸载自带jdkⅡ、安装新版jdkⅠ、卸载自带jdk1、输入命令查看旧jdkrpm -qa

Tomcat版本与Java版本的关系及说明

《Tomcat版本与Java版本的关系及说明》:本文主要介绍Tomcat版本与Java版本的关系及说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Tomcat版本与Java版本的关系Tomcat历史版本对应的Java版本Tomcat支持哪些版本的pythonJ

mysql出现ERROR 2003 (HY000): Can‘t connect to MySQL server on ‘localhost‘ (10061)的解决方法

《mysql出现ERROR2003(HY000):Can‘tconnecttoMySQLserveron‘localhost‘(10061)的解决方法》本文主要介绍了mysql出现... 目录前言:第一步:第二步:第三步:总结:前言:当你想通过命令窗口想打开mysql时候发现提http://www.cpp

MySQL新增字段后Java实体未更新的潜在问题与解决方案

《MySQL新增字段后Java实体未更新的潜在问题与解决方案》在Java+MySQL的开发中,我们通常使用ORM框架来映射数据库表与Java对象,但有时候,数据库表结构变更(如新增字段)后,开发人员可... 目录引言1. 问题背景:数据库与 Java 实体不同步1.1 常见场景1.2 示例代码2. 不同操作