JetBrains เตือน พบบั๊กใน IntelliJ IDE ที่อาจทำให้ GitHub Access Token ถูกเปิดเผยได้

JetBrains ได้ออกมาประกาศเตือนลูกค้าถึงการพบบั๊กตัวใหม่บน IntelliJ IDE ที่อาจทำให้ GitHub Access Token ถูกเปิดเผยได้ ล่าสุดมีการออกแพตช์แล้ว

Credit: Ignatov/ShutterStock

ช่องโหว่ CVE-2024-37051 เป็นช่องโหว่ความปลอดภัยที่เกิดขึ้นบน IntelliJ-based IDE ตั้งแต่เวอร์ชัน 2023.1 ขึ้นไป ซึ่งจะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิดใช้งาน JetBrains GitHub Plugin โดย JetBrains ได้รับรายงานปัญหาทางด้านความปลอดภัยนี้เมื่อช่วงวันที่ 29 พฤษภาคมที่ผ่านมาว่าการทำ Pull request กับเนื้อหาที่ประสงค์ร้าย (Malicious content) บน GitHub project ผ่านทาง IDE อาจทำให้มีการเปิดเผย GitHub Access Token กับ Third-party host ได้ อย่างไรก็ตามหลังจากได้รับรายงาน JetBrains ได้มีการติดต่อทาง GitHub ทันทีเพื่อแก้ไขปัญหาชั่วคราว ทำให้การใช้งาน JetBrains GitHub Plugin เวอร์ชันเก่าอาจทำงานไม่สมบูรณ์ได้

ล่าสุด JetBrains ได้ออกอัปเดตแพช์ความปลอดภัยให้กับ IntgelliJ IDE แล้ว แนะนำให้ผู้ใช้ทำการอัปเดตทันที สำหรับเวอร์ชันที่แก้ไขปัญหาประกอบด้วย

  • Aqua: 2024.1.2
  • CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
  • DataGrip: 2024.1.4
  • DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
  • GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
  • PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
  • Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
  • RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
  • RustRover: 2024.1.1
  • WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

JetBrains ได้แนะนำให้นักพัฒนาที่เคยใช้งานฟีเจอร์ GitHub pull request โดยตรงจาก IntelliJ IDE ทำการ revoke GitHub Token ที่เคยใช้งานออก ซึ่งรวมทั้ง OAuth integration และ Personal Access Token (PAT) เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น พร้อมทั้งเปิดใช้งาน two-factor authentication สำหรับบัญชี GitHub

ที่มา: BleepingComputer

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

VRCOMM จับมือ Hillstone Networks ให้บริการ NGFW, ADC และ NDR ภายในแนวคิด Integrative Cybersecurity

Digital Transformation สร้างความซับซ้อนให้แก่ระบบ IT ทลายขอบเขตการรักษาความมั่นคงปลอดภัยจากแค่ห้อง Data Center สู่ระบบ Cloud และอุปกรณ์ Endpoint การรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัลจึงต้องการความครอบคลุมและประสานการทำงานได้อย่างบูรณาการ VRCOMM ผู้จัดจำหน่ายโซลูชันด้าน Network …

Microsoft เปิดตัว Drasi ระบบ Data Processing ที่จัดการ Big Data ได้ง่ายขึ้น

ช่วงสัปดาห์ที่ผ่านมา ทาง Microsoft ได้เปิดตัว Drasi ระบบประมวลผลข้อมูล (Data Processing) ใหม่ให้เป็น Open Source ที่จะช่วยทำให้การตรวจจับและตอบสนองต่อการเปลี่ยนแปลงข้อมูลในฐานข้อมูลได้ง่ายขึ้นกว่าเดิม