JetBrains ได้ออกมาประกาศเตือนลูกค้าถึงการพบบั๊กตัวใหม่บน IntelliJ IDE ที่อาจทำให้ GitHub Access Token ถูกเปิดเผยได้ ล่าสุดมีการออกแพตช์แล้ว
ช่องโหว่ CVE-2024-37051 เป็นช่องโหว่ความปลอดภัยที่เกิดขึ้นบน IntelliJ-based IDE ตั้งแต่เวอร์ชัน 2023.1 ขึ้นไป ซึ่งจะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิดใช้งาน JetBrains GitHub Plugin โดย JetBrains ได้รับรายงานปัญหาทางด้านความปลอดภัยนี้เมื่อช่วงวันที่ 29 พฤษภาคมที่ผ่านมาว่าการทำ Pull request กับเนื้อหาที่ประสงค์ร้าย (Malicious content) บน GitHub project ผ่านทาง IDE อาจทำให้มีการเปิดเผย GitHub Access Token กับ Third-party host ได้ อย่างไรก็ตามหลังจากได้รับรายงาน JetBrains ได้มีการติดต่อทาง GitHub ทันทีเพื่อแก้ไขปัญหาชั่วคราว ทำให้การใช้งาน JetBrains GitHub Plugin เวอร์ชันเก่าอาจทำงานไม่สมบูรณ์ได้
ล่าสุด JetBrains ได้ออกอัปเดตแพช์ความปลอดภัยให้กับ IntgelliJ IDE แล้ว แนะนำให้ผู้ใช้ทำการอัปเดตทันที สำหรับเวอร์ชันที่แก้ไขปัญหาประกอบด้วย
- Aqua: 2024.1.2
- CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
- DataGrip: 2024.1.4
- DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
- GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
- MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
- PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
- PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
- Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
- RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
- RustRover: 2024.1.1
- WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4
JetBrains ได้แนะนำให้นักพัฒนาที่เคยใช้งานฟีเจอร์ GitHub pull request โดยตรงจาก IntelliJ IDE ทำการ revoke GitHub Token ที่เคยใช้งานออก ซึ่งรวมทั้ง OAuth integration และ Personal Access Token (PAT) เพื่อป้องกันการโจมตีที่อาจเกิดขึ้น พร้อมทั้งเปิดใช้งาน two-factor authentication สำหรับบัญชี GitHub
ที่มา: BleepingComputer