Un bug critique dans GitHub Enterprise Server pourrait permettre à un attaquant d’obtenir un accès non autorisé à un compte utilisateur avec des privilèges d’administrateur, puis de semer le chaos dans les dépôts de code d’une organisation. La bonne nouvelle, c’est qu’il existe un correctif. Le service d’hébergement de code détenu par Microsoft a résolu la faille évaluée à 9.5 sur CVSS, répertoriée sous le nom de CVE-2024-6800 dans les versions 3.13.3, 3.10.16, 3.11.14 et 3.12.8 de GitHub Enterprise Server (GHES). Les organisations utilisant une instance vulnérable de GitHub Enterprise Server (GHES), la version auto-hébergée de GitHub, ont tout intérêt à télécharger la mise à jour dès que possible, car il est probable que des malfaiteurs recherchent déjà cette CVE. Les versions concernées de GHES vont de 3.13.0 à 3.13.2, de 3.10.0 à 3.10.15, de 3.11.0 à 3.11.13 et de 3.12.0 à 3.12.7. Comme l’a expliqué GitHub dans les notes de version liées ci-dessus, la faille critique concernait les instances de GHES utilisant le langage de balisage d’assertion de sécurité (SAML) pour l’authentification à signature unique. L’authentification SAML permet à des fournisseurs d’identité spécifiques (IdPs) d’utiliser des métadonnées XML de fédération exposées publiquement et signées. Cela pourrait permettre à un attaquant de falsifier une réponse SAML pour obtenir les droits d’administrateur sur une machine compromise, donnant ainsi accès à un tiers non autorisé aux dépôts GitHub de votre organisation.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du