Critical Vulnerabilities Uncovered in GitHub Enterprise Server – Patch Immediately!
2024/02/14 SecurityOnline — 進化し続けるデジタルセキュリティの中で、GitHub Enterprise Server (GHES) はエンタープライズ・レベルのコード管理とコラボレーションの基盤として登場した。この GHES は、GitHub のセルフホスト・バージョンとして、組織に対してリポジトリと開発プロセスを管理する能力を提供する。しかし、最近になって、複数の深刻度の高い脆弱性が公表され、その悪用に成功した攻撃者が、機密性の高いシステムに不正にアクセスする可能性が生じている。したがって、リスクを軽減するための、早急な対策が求められる。
問題となっている脆弱性の深刻度は多様だが、いずれも GitHub Enterprise Servers のセキュリティを著しく損なう可能性がある。これらの脆弱性は、GitHub Bug Bounty プログラムに参加しているセキュリティ研究者の努力により公開され、個別の CVE が採番されている。最も重大な問題の内訳は以下の通り:
パストラバーサル脆弱性:CVE-2024-1082
- 深刻度:High (CVSS:6.3)
- 影響:GitHub ページ内のシンボリックリンクを経由した不正なファイル・アクセス
- 攻撃ベクター:前提として、GitHub Pages サイトにおける作成/ビルドのパーミッションが必要
この脆弱性は、シンボリックリンクの不適切な取り扱いに関連するものであり、悪用に成功した攻撃者が、サーバのディレクトリ構造を横断して、多種多様なファイルに無許可でアクセスする可能性が生じる。
コマンド・インジェクションの脆弱性:CVE-2024-1372/CVE-2024-1359/CVE-2024-1378/CVE-2024-1355/CVE-2024-1354/CVE-2024-1369/CVE-2024-1374
- 重大度: High (大半が CVSS:9.1)
- 影響:コマンド・インジェクションによる管理者の SSH への不正アクセス
- 攻撃ベクター:前提として、管理コンソールの編集者ロールが必要
複数のコマンド・インジェクションの脆弱性が公開され、危険なディスティネーションである、管理者の SSH に対する不正アクセスの経路を提供している。これらの脆弱性が示唆するのは、入力検証とシステム設計における最小特権の原則の重要性である。
クロスサイト・スクリプティング (XSS) 脆弱性:CVE-2024-1084
- 深刻度:Medium (CVSS:6.5)
- 影響:タグ名のパターンフィールドにおける XSS によるアカウント操作
- 攻撃ベクター:前提として、 ユーザーとのインタラクション/ソーシャル・エンジニアリングが必要
この脆弱性が浮き彫りにするのは、攻撃者が悪意のあるスクリプトを実行するために、Web アプリケーションを操作するという XSS 攻撃の常在性である。強固な入力サニタイズ・メカニズムの必要性を示している。
特定の JSON ファイルの復号を可能にする脆弱性という、表面的には小さな問題に見えるかもしれない問題は、深刻度の低い脆弱性であっても、放置すればデジタル・セキュリティの侵食につながる可能性があることを再認識させるものだ。
これらの発見を受けた GitHub は、複数のバージョンの GitHub Enterprise Server に対して、脆弱性を修正するパッチを迅速に適用した。すでに、バージョン 3.11.5/3.10.7/3.9.10/3.8.15 においては、一連の脆弱性に対する修正が施されている。GitHub Enterprise Server のアップデートを定期的に確認し、将来の攻撃を阻止するために、厳格なセキュリティ体制を維持することが重要である。
GitHub Enterprise Server を GHES と略すのですね。この他にも、Community や Edition もありますが、それらも略してしまって良いのでしょうかね? それにしても、大量のコマンド・インジェクションの脆弱性が出て、大半の CVSS 値が 9.1 とのことです。ご利用のチームは、アップデートを、ご確認ください。よろしければ、GitHub で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.