Ein Sicherheitsproblem, das das JetBrains GitHub Plugin auf der IntelliJ-Plattform betrifft, wurde entdeckt und behoben. Die Schwachstelle könnte zur Offenlegung von Zugriffstokens an Drittanbieter führen und betrifft alle IntelliJ-basierten IDEs ab Version 2023.1 mit aktivem JetBrains GitHub Plugin. Besonders gefährlich ist hierbei die Möglichkeit, dass bösartige Inhalte in Pull Requests Zugriffstokens an Drittanbieter preisgeben könnten. Dieser Fehler wurde als CVE-2024-37051 erfasst.
Betroffene Versionen:
- Aqua: 2024.1.2
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
- DataGrip: 2024.1.4
- DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
- Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
- RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
- RustRover: 2024.1.1
- WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
Nach der Identifizierung des Problems wurde umgehend ein Update entwickelt und veröffentlicht, das alle betroffenen Versionen der IntelliJ-basierten IDEs ab 2023.1 abdeckt. Zudem wurde die Zusammenarbeit mit GitHub intensiviert, um zusätzliche Schutzmaßnahmen zu implementieren. Beachten Sie bitte, dass ältere Versionen des Plugins möglicherweise nicht mehr wie erwartet funktionieren.
Empfehlungen:
- Update: Stellen Sie sicher, dass Sie die neueste Version Ihrer IDE installiert haben, die den Fix enthält.
- Token widerrufen: Falls Sie die GitHub Pull-Request-Funktionalität genutzt haben, sollten Sie alle für das Plugin genutzten Zugriffstokens widerrufen. Überprüfen Sie sowohl die OAuth-Integrationen als auch die Personal Access Tokens (PAT) und widerrufen Sie diese gegebenenfalls.
- OAuth-Integration: Gehen Sie zu „Applications → Authorized OAuth Apps“ und widerrufen Sie den Zugriff für die JetBrains IDE Integration.
- Personal Access Tokens: Löschen Sie den Token für das Plugin über die Tokens-Seite. Der Standardname lautet „IntelliJ IDEA GitHub integration plugin“.
Nach dem Widerruf des Tokens muss das Plugin neu eingerichtet werden, da die Funktionen einschließlich der Git-Operationen nicht mehr verfügbar sind.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: