GitHub Enterprise Update

GitHub Enterprise Release notes - 2.16.12

GitHubKorea 2019. 7. 4. 15:26

2.17 시리즈 릴리즈 노트에서 모든 히스토리를 확인하실 있습니다.

 

 

OAuth 승인 우회

CRITICAL 취약점은 공격자가 대상 사용자의 승인없이 대상 사용자의 계정에 OAuth 응용 프로그램에 권한을 부여 있는 것이 확인되었다이렇게하면 공격자가 인증 OAuth 응용 프로그램을 통해 대상 사용자를 대신하여 작업을 실행할 있습니다공격자는 공격을 수행하기 위해 영향을 받은 GitHub Enterprise Server 인스턴스에서 OAuth 응용 프로그램을 생성 있어야합니다또한 공격을 실행하려면 대상 사용자가 공격자가 제어하는 ​​ 사이트를 방문해야 합니다.

영향을 받는 GitHub Enterprise 버전은 다음과 같습니다.

  • 2.14.0 - 2.14.23
  • 2.15.0 - 2.15.16
  • 2.16.0 - 2.16.11
  • 2.17.0 - 2.17.2

GitHub 엔터프라이즈 서버 2.14.24, 2.15.17, 2.16.12, 2.17.3, 이상의 최신 패치 릴리스로 업그레이드하는 것이 좋습니다질문이 있으시면 https://enterprise.github.com/support 에서 GitHub 지원팀에 문의 하십시오.

취약점은 GitHub Security Bug Bounty 프로그램을 통해 보고 되었습니다 .

 

보안 수정

  • 중요 : 악의적인 OAuth 응용 프로그램은 사용자 승인없이 대상 사용자의 계정에서 권한을 부여 받아 공격자가 사용자 대신 작업을 실행할 있게 합니다.

알려진 문제점

  • 사용자가 없는 GitHub Enterprise Server 새로 설정하면 공격자가 번째 관리 사용자를 만들 있습니다.
  • 사용자 지정 방화벽 규칙은 업그레이드 중에 유지 관리되지 않습니다.
  • 저장소 데이터 캐시가 작성되는 동안 Subversion (SVN) 체크 아웃이 시간 초과 있습니다대부분의 경우, 후속 svn 체크 아웃 시도가 성공합니다.
  • 인터페이스를 통해  Git LFS tracked file  저장소에 잘못 추가됩니다.
  • 파일 경로명이 255자를 초과하는 저장소의 BLOB permalink 포함되어 있으면 이슈를 닫을 없습니다.
  • Resque 작업자는 구성 작업을 수행한 후에 정리할 없으므로 부실 작업자가 늘어나고 메모리 사용량이 높아질 있습니다.
단군소프트