先日、GitHubは同社のエンタープライズ・サーバーに高リスクのセキュリティ脆弱性が発見されたことを発表した。 GitHub エンタープライズサーバー セキュリティ脆弱性の脅威を防ぐため、すべてのユーザーに直ちにアップデートすることを強く推奨する。
脆弱性の詳細
GitHub Enterprise Server (GHES) に認証の脆弱性が存在します。この問題は CVE-2024-4985(CVSSスコア: 10.0)の脆弱性が存在し、この脆弱性を悪用してSAMLレスポンスを偽造し、サイト管理者権限を持つユーザーを設定またはアクセスすることが可能です。この脆弱性は、3.13.0 より前のすべてのバージョンの GitHub Enterprise Server に影響し、バージョン 3.9.15, 3.10.12, 3.11.10, 3.12.4 で修正されています。この脆弱性を悪用すると、事前の認証なしにインスタンスに不正アクセスされる可能性があります。この脆弱性は ギットハブ・バグバウンティ プログラム・レポート
影響版
以下のバージョンのGitHub Enterprise Serverが影響を受けます:
バージョン 3.0 から 3.9 高リスクの脆弱性が存在すると、組織のコードベース、機密データ、配備環境が深刻なセキュリティリスクにさらされる可能性がある。
脆弱性の検証:
侵入テストツール(例:burpsuite)を開く。
ネットワーク接続要求を作成する。
GET "リクエストタイプを選択する。
GHESのURLを入力してください。
リクエストに偽の SAML アサーション・パラメータを追加する。偽の SAML アサーション・パラメータの例は、GitHub のドキュメントにあります。
GHESの回答を確認する。
応答の HTTP ステータス・コードが 200 の場合、偽造された SAML アサーション・パラメータを使用して、認証が正常にバイパスされたことになる。
レスポンスに異なるHTTPステータス・コードが含まれている場合、認証は正常にバイパスされていない。
https://your-ghes-instance.com 。 (サブジェクト確認データ) jdoe</。NameID (サブジェクト確認データ) (サブジェクト確認) urn:oasis:names:tc:SAML:2.0:methodName:passwordとする。 </AuthnStatement <属性ステートメント アクメ株式会社</Attribute jdoe@acme.com </AttributeStatement </アサーション
GitHub公式:
GitHubはこの脆弱性を修正する緊急セキュリティパッチをリリースした。同社は、影響を受けるバージョンを使用しているすべてのユーザーに対し、セキュリティを確保するためにできるだけ早く最新バージョンにアップグレードすることを強く推奨している。具体的なアップデート手順とパッチのダウンロードは、GitHub公式サイトのSecurity Bulletinページで確認できる。
セキュリティ・アップグレード
潜在的な攻撃からシステムを保護するために、次の手順をお勧めします: GitHub Enterprise Serverを最新バージョンにアップデートする。
https://docs.github.com/en/enterprise-server@3.10/admin/release-notes#3.10.12
https://docs.github.com/en/enterprise-server@3.11/admin/release-notes#3.11.10
https://docs.github.com/en/enterprise-server@3.12/admin/release-notes#3.12.4
https://docs.github.com/en/enterprise-server@3.9/admin/release-notes#3.9.15
更新がすぐに利用できない場合は、一時的な緩和策として、SAML 認証または暗号化アサーション 機能を無効にすることを検討する。
参照する:
https://github.com/absholi7ly/Bypass-authentication-GitHub-Enterprise-Server
https://nvd.nist.gov/vuln/detail/CVE-2024-4985
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/critical-github-enterprise-server-flaw-allows-authentication-bypass.html。
