JetBrains a averti ses clients de corriger une vulnérabilité critique qui affecte les utilisateurs de ses applications d’environnement de développement intégré (IDE) IntelliJ et expose les jetons d’accès GitHub.

Suivi comme CVE-2024-37051, cette faille de sécurité affecte tous les IDE basés sur IntelliJ à partir de 2023.1, où le plugin JetBrains GitHub est activé et configuré / utilisé.

« Le 29 mai 2024, nous avons reçu un rapport de sécurité externe avec des détails sur une vulnérabilité possible qui affecterait les demandes d’extraction au sein de l’EDI », a déclaré Ilya Pleskunin, responsable de l’équipe de support de sécurité chez JetBrains.

« En particulier, un contenu malveillant faisant partie d’une pull request vers un projet GitHub qui serait géré par des IDE basés sur IntelliJ exposerait des jetons d’accès à un hôte tiers. »

JetBrains a publié des mises à jour de sécurité qui corrigent cette vulnérabilité critique sur les IDE affectés version 2023.1 ou ultérieure.

La société a également corrigé le plugin vulnérable JetBrains GitHub et a depuis supprimé toutes les versions précédemment impactées de son marché officiel des plugins.

La liste complète des versions corrigées pour les IDE IntelliJ comprend:

  • Aqua: 2024.1.2
  • CLion: 2023.1.7, 2023.2.4, 2023.3.5, 2024.1.3, 2024.2 EAP2
  • DataGrip: 2024.1.4
  • DataSpell: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.2
  • GoLand: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • IntelliJ IDEA: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • MPS: 2023.2.1, 2023.3.1, 2024.1 EAP2
  • PhpStorm: 2023.1.6, 2023.2.6, 2023.3.7, 2024.1.3, 2024.2 EAP3
  • PyCharm: 2023.1.6, 2023.2.7, 2023.3.6, 2024.1.3, 2024.2 EAP2
  • Rider: 2023.1.7, 2023.2.5, 2023.3.6, 2024.1.3
  • RubyMine: 2023.1.7, 2023.2.7, 2023.3.7, 2024.1.3, 2024.2 EAP4
  • RustRover: 2024.1.1
  • WebStorm: 2023.1.6, 2023.2.7, 2023.3.7, 2024.1.4

Les administrateurs invités à corriger et révoquer les jetons GitHub
« Si vous n’avez pas mis à jour vers la dernière version, nous vous invitons vivement à le faire », a averti Pleskunin.

En plus de travailler sur un correctif de sécurité, JetBrains a contacté GitHub pour aider à minimiser l’impact. En raison des mesures mises en œuvre pendant le processus d’atténuation, le plug-in JetBrains GitHub peut ne pas fonctionner comme prévu dans les anciennes versions des IDE JetBrains.

JetBrains a également « fortement » conseillé aux clients qui ont activement utilisé la fonctionnalité de demande d’extraction GitHub dans les IDE IntelliJ de révoquer tous les jetons GitHub utilisés par le plugin vulnérable, car ils pourraient fournir aux attaquants potentiels un accès aux comptes GitHub liés, même avec la protection supplémentaire de l’authentification à deux facteurs.

De plus, si le plug-in a été utilisé avec une intégration OAuth ou un Jeton d’accès personnel (PAT), ils doivent également révoquer l’accès à l’application d’intégration IDE JetBrains et supprimer le jeton du plug-in d’intégration IntelliJ IDEA GitHub.

« Veuillez noter qu’une fois le jeton révoqué, vous devrez configurer à nouveau le plugin car toutes les fonctionnalités du plugin (y compris les opérations Git) cesseront de fonctionner », a déclaré Pleskunin.

En février, JetBrains a également mis en garde contre une vulnérabilité critique de contournement d’authentification—avec un code d’exploitation public disponible depuis mars—qui pourrait permettre aux attaquants d’obtenir des privilèges d’administrateur et de prendre le contrôle des serveurs Locaux vulnérables de TeamCity.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *