TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
GitHub ออกแพตช์ช่องโหว่ความรุนแรงสูงสุดบน GitHub Enterprise Server แนะนำผู้ดูแลระบบอัปเดตทันที
GitHub ได้ประกาศการแพตช์ช่องโหว่ CVE-2024-4985 ซึ่งเป็นช่องโหว่ประเภท Authentication Bypass บน GitHub Enterprise Server (GHES) ช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีสามารถ Bypass การยืนยันตัวตนของระบบ SAML single sign-on (SSO) ได้ ทำให้ได้รับสิทธิ์ระดับผู้ดูแลระบบและเข้าถึงข้อมูลภายในได้ทั้งหมด โดยช่องโหว่นี้มีความรุนแรงตาม CVSS v4 ระดับ 10.0 ซึ่งเป็นระดับความรุนแรงสูงสุด
ช่องโหว่นี้มีผลกระทบต่อ GHES ที่เปิดใช้งาน SAML SSO ร่วมกับ encrypted assertions ซึ่งเป็นฟีเจอร์ที่ใช้ป้องกันการโจมตีแบบ man-in-the-middle เท่านั้น ผู้ใช้งานสามารถทำการอัปเดตไปยังเวอร์ชัน 3.12.4, 3.11.10, 3.10.12 และ 3.9.15 เพื่ออุดช่องโหว่ดังกล่าวได้แล้ว
ที่มา: Bleeping Computer
