Un bogue critique dans GitHub Enterprise Server pourrait permettre à un attaquant de prendre un accès non autorisé à un compte utilisateur avec des privilèges d’administrateur et ensuite causer des ravages dans les dépôts de code d’une organisation. La bonne nouvelle est qu’il y a un correctif. Le service d’hébergement de code détenu par Microsoft a corrigé la vulnérabilité notée 9.5 CVSS sous la référence CVE-2024-6800 dans les versions 3.13.3, 3.10.16, 3.11.14 et 3.12.8 de GitHub Enterprise Server (GHES). Les organisations utilisant une instance vulnérable de GitHub Enterprise Server (GHES), la version auto-hébergée de GitHub, feraient bien de télécharger la mise à jour dès que possible car il est probable que des malfaiteurs scannent déjà pour cette CVE. Les versions affectées de GHES incluent 3.13.0 à 3.13.2, 3.10.0 à 3.10.15, 3.11.0 à 3.11.13 et 3.12.0 à 3.12.7. Comme l’a expliqué GitHub dans les notes de version liées ci-dessus, la faille critique affectait les instances de GHES qui utilisent Security Assertion Markup Language (SAML) pour l’authentification unique. L’authentification SAML permet des fournisseurs d’identité spécifiques (IdP) à utiliser des métadonnées XML de fédération publiquement exposées et signées. Cela pourrait permettre à un attaquant de falsifier une réponse SAML pour obtenir des privilèges administratifs sur une machine compromise, donnant ainsi à une partie non autorisée l’accès aux dépôts GitHub de votre organisation.
« Désarmer l’IA » : l’encyclique historique du pape Léon XIV, ClickUp remplace 22 % de ses employés par 3 000 agents IA et la Gen Z se révolte contre l’intelligence artificielle
Le pape Léon XIV publie Magnifica humanitas, première encyclique dédiée à la dignité humaine face à l’IA. ClickUp licencie 22 % de son personnel et déploie 3 000 agents IA. La Gen Z américaine hue les discours pro-IA. Google prépare ses Googlebooks et la Chine donne une identité numérique aux robots. Décryptage par Netz Informatique.