Un bogue critique dans GitHub Enterprise Server pourrait permettre à un attaquant de prendre un accès non autorisé à un compte utilisateur avec des privilèges d’administrateur et ensuite causer des ravages dans les dépôts de code d’une organisation. La bonne nouvelle est qu’il y a un correctif. Le service d’hébergement de code détenu par Microsoft a corrigé la vulnérabilité notée 9.5 CVSS sous la référence CVE-2024-6800 dans les versions 3.13.3, 3.10.16, 3.11.14 et 3.12.8 de GitHub Enterprise Server (GHES). Les organisations utilisant une instance vulnérable de GitHub Enterprise Server (GHES), la version auto-hébergée de GitHub, feraient bien de télécharger la mise à jour dès que possible car il est probable que des malfaiteurs scannent déjà pour cette CVE. Les versions affectées de GHES incluent 3.13.0 à 3.13.2, 3.10.0 à 3.10.15, 3.11.0 à 3.11.13 et 3.12.0 à 3.12.7. Comme l’a expliqué GitHub dans les notes de version liées ci-dessus, la faille critique affectait les instances de GHES qui utilisent Security Assertion Markup Language (SAML) pour l’authentification unique. L’authentification SAML permet des fournisseurs d’identité spécifiques (IdP) à utiliser des métadonnées XML de fédération publiquement exposées et signées. Cela pourrait permettre à un attaquant de falsifier une réponse SAML pour obtenir des privilèges administratifs sur une machine compromise, donnant ainsi à une partie non autorisée l’accès aux dépôts GitHub de votre organisation.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du