GitHub a corrigé une vulnérabilité de contournement d’authentification de gravité maximale (score CVSS v4: 10,0) répertoriée comme CVE-2024-4986, qui affecte les instances GitHub Enterprise Server (GHES) utilisant l’authentification unique SAML (SSO).

L’exploitation de la faille permettrait à un acteur de la menace de falsifier une réponse SAML et d’obtenir des privilèges d’administrateur, offrant un accès illimité à tous les contenus de l’instance sans nécessiter d’authentification.

GHES est une version auto-hébergée de GitHub conçue pour les organisations qui préfèrent stocker des référentiels sur leurs propres serveurs ou environnements de cloud privé.

Il répond aux besoins des grandes entreprises ou des équipes de développement qui ont besoin d’un plus grand contrôle sur leurs actifs, des entités traitant des données sensibles ou propriétaires, des organisations ayant des besoins de haute performance et des utilisateurs nécessitant des capacités d’accès hors ligne.

La faille, qui a été soumise au programme de primes aux bogues de GitHub, n’affecte que les instances utilisant l’authentification unique SAML (Security Assertion Markup Language) avec des assertions cryptées. Cette fonctionnalité facultative protège les données contre l’interception (attaques de l’homme du milieu).

« Sur les instances qui utilisent l’authentification SAML single sign-on (SSO) avec la fonctionnalité facultative d’assertions chiffrées, un attaquant pourrait falsifier une réponse SAML pour approvisionner et / ou accéder à un utilisateur disposant de privilèges d’administrateur. »- Sur GitHub.
En raison du fait que les assertions chiffrées ne sont pas le paramètre par défaut sur GHES, CVE-2024-4986 n’affecte que les instances dont les administrateurs ont activé la fonctionnalité de sécurité.

La vulnérabilité a été corrigée dans les versions 3.12.4, 3.11.10, 3.10.12 et 3.9.15 de GHEL, toutes publiées hier, le 20 mai.

Les problèmes connus avec la mise à jour incluent:

  • Les règles de pare-feu personnalisées sont effacées.
  • Erreur « Aucun objet de ce type » lors de la validation de la configuration pour les services Notebook et Viewscreen. (peut être ignoré)
  • Le compte administrateur racine de la console de gestion ne se déverrouille pas automatiquement après le verrouillage. (nécessite un accès SSH pour déverrouiller)
  • Le transfert de journaux activé par TLS échoue car les bundles d’autorités de certification téléchargés à l’aide de ghe-ssl-ca-certificate-install ne sont pas respectés.
  • L’erreur mbind: Operation not permitted dans les journaux MySQL peut être ignorée.
  • Les instances AWS peuvent perdre la synchronisation de l’heure du système après un redémarrage.
  • Toutes les adresses IP clientes apparaissent sous la forme 127.0.0.1 dans les journaux d’audit lors de l’utilisation de l’en-tête X-Forwarded-For derrière un équilibreur de charge.
  • Grand .les fichiers adoc peuvent ne pas s’afficher dans l’interface utilisateur Web, mais sont disponibles en texte brut.
  • La restauration de sauvegarde avec ghe-restore peut échouer si Redis n’a pas redémarré correctement.
  • Les dépôts importés à l’aide de ghe-migrator ne suivent pas correctement les contributions de sécurité avancées.
  • Les flux de travail des actions GitHub pour les pages GitHub peuvent échouer; le correctif nécessite des commandes SSH spécifiques. (correctif fourni dans le bulletin)

Malgré ces problèmes, ceux qui utilisent la configuration vulnérable (SSO SAML + assertions cryptées) doivent immédiatement passer à une version sécurisée de GHEL.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *