GitHub Enterprise Server Patch behebt gleich 6 kritische Schwachstellen

Table of Contents

Am 13. Februar 2024 wurden kritische Schwachstellen im GitHub Enterprise Server bekannt, von denen gleich 6 mit CVSS 9.1/10 als kritisch einzustufen sind. Die Schwachstelle CVE-2024-0200 ist eine unsichere Reflektionsschwachstelle und erlaubt Angreifern eine potenzielle Reflektionsinjektion und somit die Ausführung von Remote-Code. Um diese Schwachstelle auszunutzen, müsste ein Akteur mit der Rolle eines Organisationsinhabers in einer Instanz des GitHub Enterprise Server (GHES) angemeldet sein. Sie betrifft alle Versionen vor 3.12 und wurde in den Versionen 3.8.13, 3.9.8, 3.10.5 und 3.11.3 behoben​​​​.

GitHub reagierte prompt auf dieses Problem, indem potenziell exponierte Anmeldeinformationen gedreht wurden, einschließlich des GitHub-Commit-Signierschlüssels, GitHub Actions, GitHub Codespaces und Dependabot-Kundenverschlüsselungsschlüssel, und forderte die Benutzer auf, neue Schlüssel zu importieren, um die Sicherheit weiterhin zu gewährleisten​​.

Darüber hinaus enthielt die Version 3.11.1 des GitHub Enterprise Server Korrekturen für eine Reihe von Sicherheitsproblemen, wie eine unsachgemäße Authentifizierungsschwachstelle, die es ermöglichte, den privaten Modus mit einer speziell gestalteten API-Anfrage zu umgehen, und eine Pfadtraversierungsschwachstelle, die das willkürliche Lesen von Dateien beim Erstellen einer GitHub Pages-Seite ermöglichte. Weitere behobene Schwachstellen umfassten solche, die die Aufrechterhaltung des Admin-Zugriffs über Rennbedingungen, das Einfügen sensibler Informationen in Protokolldateien und unsachgemäßes Privilegienmanagement ermöglichten​​.

Die gepatchten Schwachstellen im Überblick

CVE-2024-0200

  • Schwachstelle: Unsichere Reflektion
  • Beschreibung: Diese kritische Schwachstelle ermöglichte die Reflektionsinjektion und die Ausführung von benutzerkontrollierten Methoden und Remote-Code. Ein Angreifer mit der Rolle eines Organisationsinhabers, der in einer GHES-Instanz angemeldet ist, könnte diese Schwachstelle ausnutzen.
  • Behebung: Korrigiert in den Versionen 3.8.13, 3.9.8, 3.10.5 und 3.11.3.

CVE-2023-6847

  • Schwachstelle: Unangemessene Authentifizierung
  • Beschreibung: Ermöglichte die Umgehung des privaten Modus durch eine speziell gestaltete API-Anfrage. Der private Modus ist der Mechanismus, der die Authentifizierung für öffentlich zugängliche Ressourcen erzwingt.
  • Behebung: Details zur Behebung wurden in den Sicherheitsaktualisierungen für GitHub Enterprise Server bereitgestellt.

CVE-2023-46645

  • Schwachstelle: Pfadtraversierung
  • Beschreibung: Ermöglichte das willkürliche Lesen von Dateien beim Erstellen einer GitHub Pages-Seite. Ein Angreifer mit der Berechtigung, eine GitHub Pages-Seite zu erstellen und zu bauen, könnte diese Schwachstelle ausnutzen.
  • Behebung: In den entsprechenden Versionsaktualisierungen behoben.

Zusätzlich zu diesen spezifischen CVEs wurden weitere Sicherheitslücken mit mittlerer Schwere behoben, die sich auf Rennbedingungen, das Einfügen sensibler Informationen in Protokolldateien und unsachgemäßes Privilegienmanagement bezogen. Diese umfassen unter anderem die Möglichkeit für Angreifer, Admin-Zugriff durch Ausnutzen von Rennbedingungen zu behalten, sowie Schwachstellen, die es ermöglichen, sensible Informationen in Protokolldateien einzufügen.

Related Posts

DNSSEC KeyTrap droht weite Teile des Internets mit DDOS lahmzulegen

Die Sicherheitslücke CVE-2023-50387, genannt KeyTrap, betrifft ein Designproblem bei DNSSEC. Es ermöglicht, dass ein einziger bösartiger Datenverkehr die Verarbeitungskapazität eines DNS-Servers vollständig auslastet und diesen effektiv außer Betrieb setzt. Entdeckt von Forschern des ATHENE, wird es als “der schlimmste Angriff auf DNS, der je entdeckt wurde” beschrieben, mit einer Schwerebewertung von 7,5 von 10.

Read More

Dell Unity Storage - kritische Sicherheitslücken jetzt patchen

Am 12.02.204 veröffentlichte Dell einen Sicherheitshinweis, in dem es dazu aufrief Produkte der Dell Unity Fileserver Reihe, zu patchen. Der Patch schliesst eine ganze Reihe kritischer Sicherheitslücken und sollte daher dringend installiert werden:

Read More

Hacker Angriff auf Batteriehersteller Varta stoppt Produktion

Die VARTA AG wurde in der Nacht auf den 12. Februar 2024 Opfer eines Cyberangriffs, der Teile ihrer IT-Systeme betraf. Als Reaktion darauf wurden die IT-Systeme und die Produktion vorübergehend aus Sicherheitsgründen heruntergefahren und vom Internet getrennt. Das Unternehmen arbeitet derzeit daran, den Umfang der Auswirkungen zu überprüfen und legt dabei besonderen Wert auf die Datenintegrität. Es ist noch unklar, in welchem Umfang ein tatsächlicher Schaden entstanden ist​​.

Read More